iPhone: scoperte due nuove vulnerabilità

Aviv Raff ha pubblicato da poche ore le

di due bug che affliggerebbero iPhone OS, in particolare Mail, l’applicazione per la posta elettronica su

ed

.

In prima istanza, Mr. Raff avrebbe inviato una segnalazione con dovizia di particolari ad Apple già ben 2 mesi fa. In tutto questo tempo, non solo Apple non avrebbe fornito alcuna risposta, ma ha anche rilasciato 3 diversi aggiornamenti firmware perpetrando i due bug segnalati. Un pò stizzito dall’atteggiamento dell’azienda di Cupertino, il ricercatore avrebbe deciso di rendere pubblici i bug.

Il primo bug riguarderebbe la possibilità da parte di malintenzionati di stabilire che una cerca casella email è attiva o meno. La vulnerabilità si manifesterebbe quando si riceve una email indesiderata in formato

contenente una o più immagini. Tutti i software di posta elettronica bloccano il download di risorse esterne alle email giudicate indesiderate, eccetto Mail. Per questa ragione se sul server un malintenzionato implementasse un controllo sulla richiesta di una particolare immagine potrebbe facilmente annotare l’attivazione di una casella di posta.

Il secondo bug è invece un caso di

. Esso si manifesta quando un utente decide di cliccare su indirizzi web contenuti nelle email indesiderate. Nella maggior parte dei casi questi indirizzi non conducono ai siti sperati e per evitare di cadere nella trappola basterebbe fare attenzione all’indirizzo di destinazione (quasi sempre visibile nei più comuni software di posta elettronica). Mail per iPhone, in presenza di collegamenti ipertestuali lunghi provvede all’accorciamento e per questa ragione un malintenzionato potrebbe sfruttare il troncamento per dirottare l’utente su indirizzi che sembrano autentici nella parte non troncata.

Aviv Raff consiglia di fare attenzione agli indirizzi web contenuti nelle email per risolvere il caso di phishing, mentre sostiene che per il problema di

l’unica soluzione al momento attuabile è quella di non utilizzare Mail per iPhone.

[Via

]