Авив Рафф раскрыл информацию об уязвимостях в Mail iPhone

Эксперт по безопасности Авив Рафф (Aviv Raff) опубликовал в своем блоге несколько сообщений о найденных им уязвимостях в системе безопасности платформы iPhone, о которых он впервые оповестил компанию Apple несколько месяцев назад. По словам Раффа, он решился опубликовать свои исследования, поскольку с июля уже вышло несколько обновлений прошивки для iPhone.

Все уязвимости, обнаруженные Раффом, связаны с почтовой службой Mail. Дело в том, что она автоматически загружает картинки, в том числе и нежелательного содержания. Во время загрузки URL-адрес картинки проверяется, таким образом, предоставляя возможность спамерам использовать адрес электронной почты пользователя.

Другая уязвимость относится к идентификации URL-адресов в Mail. Это приложение может использоваться для просмотра как писем в HTML-формате, так и простых текстовых сообщений. Когда почтовое сообщение имеет HTML-формат, текст ссылок может содержать не указанный адрес, а любой другой. В большинстве почтовых клиентов вы можете просто просмотреть ссылку и вызвать контекстное окно, где будет показан реальный адрес, на который вы переходите. А вот пользователи iPhone могут просматривать лишь начальную часть ссылки. Таким образом, злоумышленник может составить длинное имя поддомена, которое не отобразится целиком на экране iPhone. В результате, пользователь может, сам того не ведая, попасть на хакерский ресурс, где может оставить номера своих кредитных карт и другую конфиденциальную информацию.