据外媒报导， iOS 邮件 Mail.app 上的存在一个可被利用的漏洞，黑客可以透过这个漏洞，发送远程 HTML 内容到邮件，并重新导向一个攻击网页，让攻击网页的内容取代既有邮件内容，可用以发动各种攻击，甚至是用以窃取密码。攻击邮件的制作相当简单，只需要加入一 标签，并输入藏有攻击码的网站地址，即大功告成。

　　(图一：ASRC测试为导向雅虎网站)

　　Mail 应用就一直不能适当屏蔽掉新邮件消息中含有潜在危险的 HTML 代码。被公布的攻击代码就是利用这个漏洞：它可以从远程服务器下载一份看起来同 iCloud 原版登录提示一模一样的表格。每当用户打开这个藏有陷阱的信息，假冒的 iCloud 登录界面就会出现。黑客依旧可以利用简单的 HTML 和 CSS 建立一个可以工作的密码「收集器」。

　　(图二：弹出的iCloud登录界面)

　　(图三，ASRC在iOS 8.x的Mail.app上，测试邮件内容就直接变成了雅虎的画面)

　　过去的钓鱼邮件要导引受害者至钓鱼网站，需要受害者配合主动点击;但若利用此漏洞，甚至用以攻击特定对象(鱼叉式攻击)，则只要受害者以iOS 8.x中的Mail.app阅读邮件，即会自动导向钓鱼网站。ASRC认为这个漏洞非常严重，因为正常的 iOS 系统也会多次显示密码登录界面，这无疑是增加了用户的受害几率。在ASRC看来，用户遇到要求输入密码提示界面时最好的办法是点击取消，而不是输入任何登录信息。大部分时候，用户取消密码输入后不会带来什么严重后果，最糟糕的情况也就是系统再次弹出提示要求用户输入密码。如果用户真的需要输入密码，那么他们要确保这时候自己没有打开任何邮件。

　　Softnext守内安与ASRC在此呼吁：使用iOS 8.x的用户，在收取邮件时，若发现弹出iCloud登录的密码框或有额外弹出网页的情况，务必特别谨慎小心，切勿在其中输入任何密码或个人数据!

　　ASRC还特别指出，弹出的iCloud界面只是该漏洞呈现的一种形式而已，其背后，我们更需要警惕的是，此前，网页的攻击多半是被动的，它被设好后，得等受攻击的人主动链接这个特制的网页才能发动后续的攻击，就是我们俗称的钓鱼攻击。而藉由这个mail.app的漏洞，攻击可以化被动为主动，可直接发送一个利用此漏洞的邮件，收件人只要不小心看了邮件，网页攻击就可被发动!

　　所以，anyway，希望苹果公司尽早解决这一严重漏洞!在其未公布该漏洞更新前，建议个人用户尽可能避免使用iOS的原生Mail app。