Обнаружены новые уязвимости iPhone: спамеры ликуют

На модерации Отложенный

Специалист по компьютерной безопасности Авив Раф (Aviv Raff) опубликовал отчет, содержащий предупреждение о двух уязвимостях почтовой программы телефона – iPhone Mail.

Первая уязвимость связана с загрузкой изображений, вложенных в почтовые сообщения. На «больших» операционных системах в любом браузере можно отключить показ изображений, но в iPhone это сделать нельзя – картинка загрузится в любом случае. Казалось бы, в этом нет ничего опасного, однако дело в том, что сервер получает сигнал о загрузке изображения пользователем, в результате чего потенциальный спамер узнает о том, что вы открыли и прочитали письмо – и, следовательно, что ваш почтовый адрес активен. Соответственно, однажды, открыв письмо, содержащее изображения, вы можете не удивляться, что стали получать больше спама, чем раньше.

Вторая уязвимость связана со ссылками. Приложение iPhone Mail может открывать ссылки как в текстовых, так и в HTML-письмах. Если вы открываете ссылку в HTML-письме, но реальный адрес (URL) может отличаться от того, который записан в тексте. Чтобы узнать реальный адрес, на который ведет ссылка, нужно сделать на ней долгое нажатие, и тогда она будет показана.

И вот здесь-то и скрывается трюк: если ссылка очень длинная и не влезает в экран, она будет обрезана посередине (см. пример ниже). Спамер может создать длинный субдомен (скажем, в 24 символа), который будет начинаться и заканчиваться неким благовидным образом, а в середине может быть то, что пользователь просто никогда не увидит:

\"upload\"

В результате мы имеем, что получатель письма переходит по ссылке, будучи полностью уверен в ее благонадежности, особенно если полученное письмо не вызывает у него подозрения. В приведенном примере письмо написано от лица администрации Facebook, которая просит пользователя пройти по ссылке якобы из соображений безопасности. Адрес имитирует стандартные адреса Facebook, и ни текстовый вариант ссылки, ни всплывающая подсказка не выявляют ничего подозрительного.

«Мне кажется, что они (компания Apple – Eplus) подвергает своих пользователь большому риску, не исправляя эти ошибки, – говорит Раф. – Если вы прочитали этот материал, будьте внимательны».