Il noto ricercatore Aviv Raff ha scoperto due vulnerabilità in Mobile Mail, il client installato di default su ogni iPhone, che rappresenterebbero potenzialmente una grave minaccia per la sicurezza. Il rischio è di vedersi rubati dati personali e di essere soggetti a operazioni di Phishing.
Subito dopo la scoperta di questi problemi, Aviv Raff aveva prontamente inviato una comunicazione ad Apple chiedendo che correggesse i bug al più presto. Tuttavia, da Cupertino, non sono mai arrivate notizie definitive a riguardo, e a tutt’oggi (dopo ben 3 aggiornamenti di firmware – 2.0.1, 2.0.2 e infine 2.1) le vulnerabilità non sono state risolte. Mosso dall’urgenza di rendere pubblici questi problemi, Aviv Raff ha riportato le falle sul proprio blog personale:
- Phishing: attraverso mail in HTML, è possibile veicolare link con URL diversi da quelli effettivamente visualizzati nel corpo del messaggio. Ciò è reso possibile dal fatto che di default l’iPhone non visualizza gli indirizzi per intero a meno che non si prema su di essi per qualche secondo. In questo modo è possibile inviare collegamenti che somiglino (almeno nella prima parte) a collegamenti reali e la maggior parte degli utenti non se ne ravvede;
- Spamming: il furto dell’indirizzo mail dell’utente, invece, avverrebbe per mezzo di una mail HTML contenente un immagine. Questo perché Mobile Mail, di default, scarica direttamente le immagini dai server remoti senza chiedere prima l’autorizzazione. Questo meccanismo di fatto consente ad estranei di conoscere l’effettiva esistenza della nostra casella di posta elettronica.
Se tuttavia per prevenire le minacce di phishing è sufficiente prestare un po’ più d’attenzione, per quanto riguarda lo spamming non c’è molto da fare se non attendere una risposta ufficiale da parte di Apple.
Se vuoi aggiornamenti su Scoperte due nuove vulnerabilità in iPhone inserisci la tua e-mail nel box qui sotto:
Le due vulerabilità di cui tanto si parla non sono niente di più di quanto fino a oggi può capitare su qualsiasi PC e/o dispositivo che sia in grado di scaricare la posta.
Ecco perché Apple, pur sapendolo, non ha deciso ancora di modificare l’applicazione.
In pratica, il tanto temibile Furto dell’indirizzo mail dell’utente è semplicemente la conferma (da parte di un potenziale spammer) dell’esistenza del vostro indirizzo, non il furto.
Cioè ricevendo una e-mail contenente immagini (tipo le nostre newsletters) automaticamente il mittente saprà se l’avrete ricevuta, poiché per visualizzare l’immagine (contenuta nella mail in html) è necessaria la richiesta del collegamento (tacito) ad internet.
Ovviamente accade già ogni volta che clicchiamo su “accetta immagini” un messaggio di Spam con foto collegate in HTML, oppure ogni qual volta Mail non lo riconosce come SPAM.
L’altra “temibile” falla riguarda il Phishing sempre tramite i messaggi di posta in HTML, che potrebbero contenere degli url diversi rispetto a quelli visualizzati nel messaggio. Questo avviene poiché i link più lunghi non vengono visualizzati del tutto nel display dell’iPhone.
Ma andiamo!
Chi mai è così cretino da cliccare su una Mail del Banco Posta che ci chiede di inserire il pin della carta?
di Franz - 4 ottobre 2008 - 09:18