Jan Soucek นักวิจัยจาก Ernst and Young รายงานช่องโหว่ใน Mail.app ที่เชื่อแท็ก <meta http-equiv=refresh> ทำให้สามารถเปิดเว็บจากเซิร์ฟเวอร์ภายนอกได้ด้วยอีเมลที่เป็น HTML

ด้วยแนวทางนี้ Soucek สร้างเว็บที่แสดงหน้าจอเหมือนหน้าจอล็อกอิน Apple ID เพื่อล่อให้ผู้ใช้ที่ได้รับอีเมลนึกว่าแอปเปิลกำลังขอรหัสผ่านเพื่อยืนยันตัวตนซ้ำ แล้วเก็บรหัสผ่านกลับไปยังเซิร์ฟเวอร์ ขณะที่แอพพลิเคชั่นเมลโดยทั่วไปจะไม่เชื่อแท็ก <meta http-equiv=refresh> ทำให้แสดงเป็นเมลธรรมดา

Soucek ระบุว่าเขารายงานบั๊กเรื่องนี้ไปตั้งแต่เดือนมกราคมที่ผ่านมา และจนตอนนี้แอปเปิลยังไม่แก้ไข จึงได้เปิดเผยช่องโหว่ออกมา

ที่มา - The Register