Il ricercatore Aviv Raff ha pubblicato nel suo blog personale due vulnerabilità di iPhone che possono portare al furto dell’indirizzo mail dell’utente da parte di malintenzionati e a operazioni di phishing. Entrambe le vulnerabilità colpiscono il programma Mail di iPhone.
Il ricercatore dichiara di aver comunicato ad Apple i due problemi di sicurezza oltre due mesi fa, inoltre di aver richiesto più volte a Cupertino una data di rilascio per le correzioni. Apple non ha fornito al ricercatore una data precisa, nel frattempo ha realizzato tre aggiornamenti del Firmware (2.0.1 – 2.0.2 infine 2.1) senza che le due vulnerabilità fossero risolte. Per queste ragioni Aviv Raff ha deciso di rendere pubbliche le sue scoperte.
Furto dell’indirizzo mail dell’utente Aviv Raff sostiene che si tratta di un problema serio e risolto da lungo tempo in tutti i principali programmi per la gestione delle email. Quando viene letto un messaggio email in HTML che contiene una immagine, viene inoltrata una richiesta al server remoto per ottenerla. La maggior parte dei client oggi richiede l’approvazione dell’utente per il download, mentre Mail di iPhone scarica in automatico.
Se uno spammer, o un programma per la raccolta degli indirizzi mail, controlla il server remoto può sapere quando l’utente ha letto il messaggio, contrassegnando così come attiva la nostra casella di posta. Questa vulnerabilità è nota come Web Bug.
Phishing: sempre in Mail e sempre leggendo messaggi in HTML i collegamenti Web contenuti nell’email possono rimandare a URL diverse da quelle visualizzate nel testo. In iPhone per consultare il link reale occorre tener premuto il dito per un paio di secondi ma date le dimensioni del display gli indirizzi più lunghi vengono troncati. Sfruttando questa particolarità un malintenzionato potrebbe far comparire collegamenti troncati che assomigliano in tutto e per tutto a siti web sicuri e fidati, mentre in realtà selezionandoli verremmo trasportati a un URL diversa. Questa vulnerabilità può essere sfruttata per le operazioni di phishing.
Aviv Raff spiega che per il problema dello spamming non esiste una contromisura applicabile dagli utenti, così di fatto sconsiglia l’impiego di Mail su iPhone fino a quando il problema non verrà risolto da Apple. Per quanto riguarda invece il problema del phishing è opportuno fare attenzione a non utilizzare i collegamenti presenti nei messaggi, soprattutto quando dobbiamo visitare siti e pagine Web in cui inseriremo dati e informazioni personali. In questi casi è sempre buona abitudine digitare manualmente l’indirizzo desiderato oppure utilizzare i Preferiti conservati nello smartphone.
