Badacz bezpieczeństwa ujawnia błędy konstrukcyjne iPhone'a

iPhone firmy Apple ma dwa projektuje wadę, która może stwarzać potencjalne problemy z bezpieczeństwem, według badacza.

Pierwsza dotyczy aplikacji e-mail iPhone'a, która automatycznie pobiera obrazy w wiadomości e-mail, powiedział Aviv Raff, analityk bezpieczeństwa w czwartek.

Jest to problematyczne, ponieważ obraz będzie odnosił się do skryptu po stronie serwera po jego pobraniu, wskazując nadawcy, że wiadomość e-mail została otwarta, a adres e-mail jest prawidłowy. Adres można następnie zasypać.

[Czytaj dalej: Najlepsze telefony z Androidem dla każdego budżetu.]

Aplikacje e-mail są zwykle skonfigurowane do blokowania obrazów z niezaufanych źródeł, aby zapobiec problemowi, powiedział Raff. Sugeruje, że użytkownicy unikają korzystania z aplikacji e-mail lub zachowują ostrożność podczas klikania linków w wiadomościach e-mail pochodzących z niezaufanego źródła.

Drugą wadą projektu jest to, jak aplikacja e-mail w telefonie iPhone wyświetla adresy URL (jednolity zasób Lokalizatory). Wiadomości mogą być wyświetlane w postaci zwykłego tekstu lub HTML (Hypertext Markup Language). W trybie HTML użytkownik może otrzymać wiadomość e-mail, w której tekst łącza jest inny niż rzeczywisty link. Prawdziwy link można wyświetlić, umieszczając wskaźnik myszy nad tekstem, a wyskakujące okno pokazuje adres URL. Problem polega jednak na tym, że okno wyskakujące obcina adres URL, ponieważ na ekranie nie ma wystarczającej ilości miejsca.

Osoba atakująca może utworzyć witrynę sieci Web z długą poddominą, aby przekonać użytkownika, że ​​jest to uzasadniona strona. W rzeczywistości, witryna sieci Web zaprojektowana, by oszukać osobę w celu ujawnienia osobistych informacji, zwanej "phishingową", powiedział Raff.

Po tym, jak zły link zostanie wyświetlony w przeglądarce Safari, użytkownik może nadal widzieć tylko ułamek adres URL. Jeśli pasek adresu zostanie kliknięty w mobilnym Safari, kursor przeskoczy na koniec adresu URL, więc osoba musi przewinąć do tyłu, aby zobaczyć URL w całości, Raff napisał na swoim blogu.

Ani mobilny Safari firmy Apple ani komputer stacjonarny wersja przeglądarki ma filtr phishingowy.

Raff powiedział, że powiadomił Apple ponad dwa miesiące temu o wadach projektu. Firma powiedziała Raffowi, że pracują nad poprawkami, ale nie powiedział, kiedy te poprawki zostaną opublikowane.

Raff powiedział, że zdecydował się opublikować informacje, ponieważ od tego czasu Apple wydało przynajmniej trzy aktualizacje iPhone'a, ale nie odniosło problemy.

"Myślę, że narażają swoich użytkowników na większe ryzyko, nie naprawiając tego", powiedział Raff w wywiadzie. "Przynajmniej teraz użytkownicy, którzy to czytają, będą ostrożni, a to tylko kwestia czasu, dopóki złoczyńcy i tak to znajdą."

Apple nie mógł od razu uzyskać komentarza.