Scoperte due vulnerabilità dell’iPhone

Aviv Raff ha scoperto due vulnerabilità dell’iPhone, che consentirebbero di rubare l’indirizzo mail dell’utente e ad eseguire operazioni di phishing

Le due vulerabilità sono relative all’applicazione Mail.

Lo stesso Aviv Raff già due mesi fa aveva comunicato le due falle alla Apple, ma in nessun aggiornamento sono state corrette. Ecco perchè, adesso, ha deciso di renderle pubbliche:

• Furto dell’indirizzo mail dell’utente: quando viene letto un messaggio mail in HTML contenente un’immagine, viene inviate una richiesta al server per ottenerla. Oggi quasi tutti i client di posta elettronica chiedono l’autorizzazione dell’utente per scaricare l’immagine, mentre Mail non lo fa e scarica in automatico. Per questo qualsiasi spammer può controllare il server remoto e sapere quando la mail è stata letta, in modo da contrassegnare come attiva la nostra casella di posta.
• Phishing: anche questa vulnerabilità si riferisce alle mail in HTML, che potrebbero contenere degli url diversi rispetto a quelli visualizzati nel messaggio. Questo avviene perchè i link più lunghi non vengono visualizzati del tutto nel display dell’iPhone (se non tenendo premuto sullo stesso per qualche secondo), per cui chiunque potrebbe far apparire dei link tagliati, che dal testo sembrerebbero dei siti sicuri e conosciuti, ma che in realtà possono portare ad indirizzi diversi.

Per il primo problema non esiste alcuna soluzione applicabile dall’utente, per cui bisogna attendere un aggiornamento Apple, per il phishing invece è sufficiente stare attenti ai link che vengono inviati tramite mail, soprattutto dopo aver inserito i propri dati personali in qualche sito.

Fonte: macity