
Cupertino (CA) – Uno dei maggiori ricercatori mondiali di sicurezza ha scovato altri due bug nel sistema di gestione email del famoso melafonino, l’Iphone; vediamo i dettagli di questa vulnerabilità.
Il sistema mail gestito dall’Iphone presenta due errori gravi che permettono ad un pirata di effettuare attacchi di Phishing e di Spamming sul cellulare della vittima.
A scoprire i bug è stato Aviv Raff, uno dei maggiori ricercatori qualificati in questo campo. Raff ha affermato di aver informato Apple del problema il 23 luglio con il rilascio di un bollettino di sicurezza in cui veniva introdotto il bug senza entrare troppo nei dettagli; questo perchè i dettagli sono stati poi inviati ai ricercatori della Apple per poter risolvere il bug.
Cosa che invece non è avvenuta, in questi tre mesi che sono passati Apple ha rilasciato tre aggiornamenti del firmware (v2.0.1, v2.02, v2.1) ma in nessun di questi il problema veniva risolto.
A questo punto Aviv Raff ha deciso di pubblicare i dettagli delle due vulnerabilità che affligono il sistema di gestione mail dell’Iphone e anche il browser Safari.
Bug Phishing:
Il sistema mail dell’Iphone permette di visualizzare tutti i tipi di email: sia quelli in HTML puro che quelli di solo testo. Nelle email scritte in HTML è possibile impostare un URL in modo che mostri la destizione del collegamento diversa da quella effettiva.
Il problema è dovuto a come il software gestisce la visualizzazione dell’anteprima del collegamento, per intederci: quando nel browser andiamo con il mouse sopra ad un collegamento nella barra sottostante ci viene mostrata la destiniziaione di quel link. Nell’Iphone questo accade in egual modo, ma date le ridotte dimensioni dello schermo l’URL di destinazione deve essere tagliato. Se l’indirizzo di destinazione è http://sito.didestinazione.it/paginaweb nell’Iphone verrà visualizzato in questo modo: http://sito.destinazione…naweb.
Capite che basta impostare un sottodominio di circa 24 caratteri per nascondere la vera destinazione all’utente. Nell’immagine viene mostrato l’esempio postato da Aviv Raff nel suo blog.
Spamming bug:
Il secondo bug scovato invece permette ad ogni spammer di sapere se l’indirizzo email è utilizzato o meno. La tecnica è semplice: quando uno spammer invia una mail di spam ad un utente vi inserisce un’immagine, quando questa viene caricato lo spammer (che controlla il server su cui è caricata) sa che l’email è stata letta, allora inserisce l’indirizzo email tra quelli attivi ed utilizzati; con ovvi incovenienti per l’utente proprietario dell’indirizzo.
Nei software di email sono ora mai anni che le immagini non vengono più caricate, ma viene prima richiesta la conferma da parte dell’utente.
Pingback: Iphone: bug nel sistema email « Davide online