Il noto ricercatore Aviv Raff ha scoperto due vulnerabilità in Mobile Mail, il client installato di default su ogni iPhone, che rappresenterebbero potenzialmente una grave minaccia per la sicurezza. Il rischio è di vedersi rubati dati personali e di essere soggetti a operazioni di Phishing.
Subito dopo la scoperta di questi problemi, Aviv Raff aveva prontamente inviato una comunicazione ad Apple chiedendo che correggesse i bug al più presto. Tuttavia, da Cupertino, non sono mai arrivate notizie definitive a riguardo, e a tutt’oggi (dopo ben 3 aggiornamenti di firmware – 2.0.1, 2.0.2 e infine 2.1) le vulnerabilità non sono state risolte. Mosso dall’urgenza di rendere pubblici questi problemi, Aviv Raff ha riportato le falle sul proprio blog personale:
- Phishing: attraverso mail in HTML, è possibile veicolare link con URL diversi da quelli effettivamente visualizzati nel corpo del messaggio. Ciò è reso possibile dal fatto che di default l’iPhone non visualizza gli indirizzi per intero a meno che non si prema su di essi per qualche secondo. In questo modo è possibile inviare collegamenti che somiglino (almeno nella prima parte) a collegamenti reali e la maggior parte degli utenti non se ne ravvede;
- Spamming: il furto dell’indirizzo mail dell’utente, invece, avverrebbe per mezzo di una mail HTML contenente un immagine. Questo perché Mobile Mail, di default, scarica direttamente le immagini dai server remoti senza chiedere prima l’autorizzazione. Questo meccanismo di fatto consente ad estranei di conoscere l’effettiva esistenza della nostra casella di posta elettronica.
Se tuttavia per prevenire le minacce di phishing è sufficiente prestare un po’ più d’attenzione, per quanto riguarda lo spamming non c’è molto da fare se non attendere una risposta ufficiale da parte di Apple.