Der Fehler besteht darin, dass die Mail-App einen bösartigen Code in einer HTML-Mail nicht herausfiltert. Ist dieser Code in einer HTML-Mail enthalten, wird eine Eingabeaufforderung geladen, die wie der gängige iCloud-Login aussieht. Der Nutzer denkt, dass er seinen iCloud-Nutzernamen und das Passwort eingeben muss.

Allerdings werden die Informationen nicht an Apple übertragen, sondern an Dritte. Die können die Logindaten nutzen, um an sensible Kundeninformationen und persönliche Dateien zu gelangen. Im schlimmsten Fall können sogar mobile Geräte über die Fernwartung gelöscht werden.

In diesem YouTube-Video ist der Passwortklau dokumentiert:

Auf der Programmierplattform GitHub hat ein Nutzer mit den Namen jansoucek den Fehler genauer erklärt. Er beschreibt, wie selbst ohne JavaScript das Passwortfeld mit dem Einsatz von HTML und CSS ermöglicht wird. Damit die Empfänger der Schad-E-Mail nicht misstrausich werden, wird das Passwortfeld sogar nur einmal angezeigt, und nicht jedes Mal, wenn die E-Mail geladen wird.

Laut des Magazins ars technica stufen verschiedene Sicherheitsexperten diese Lücke als schwerwiegend ein. Der Tipp an iPhone- und iPad-Nutzer: Sobald an einer ungewohnten Stelle innerhalb des Mail-Programms das Passwort für die iCloud abgefragt wird, sollten die Nutzer auf "Abbruch" klicken.

Der Sicherheitsforscher hatte nach eigenen Angaben Apple bereits im Januar auf diese Scherheitslücke hingewiesen. Allerdings hat Apple noch keine Lösung angeboten. Aus diesem Grund hat er den Fehler dokumentiert und jetzt veröffentlicht.