mailbox.org ha descubierto una vulnerabilidad crítica en el cliente myMail para iOS, que utilizan millones. Dado que la transmisión de la contraseña se realiza sin cifrar, esto pone en peligro a los usuarios. La vulnerabilidad se descubrió por accidente porque se encontró un mensaje de error en los registros de TLS. Luego, los expertos pudieron extraer las contraseñas.
El equipo de mailbox.org, el servicio de correo electrónico con sede en Berlín que se especializa en protección y seguridad de datos, ha descubierto una vulnerabilidad de seguridad crítica en el cliente myMail para iOS que conduce a la transmisión no cifrada de contraseñas y correos electrónicos de usuarios. mailbox.org publicó por primera vez una advertencia correspondiente a los usuarios de myMail en su blog junto con el investigador de seguridad Mike Kuketz.
Vulnerabilidad revela las contraseñas
Los expertos en seguridad de mailbox.org se dieron cuenta de la brecha de seguridad después de que los clientes en el foro de usuarios de mailbox.org señalaron errores de transmisión al enviar correos electrónicos a través del cliente myMail. Después de un examen exhaustivo de los registros, el equipo descubrió que la aplicación myMail está tratando de transmitir contraseñas no seguras sin el cifrado TLS requerido, lo que representa un gran riesgo de seguridad. El equipo de mailbox.org también pudo extraer las contraseñas de los usuarios de las conexiones.
Según Peer Heinlein, director general de mailbox.org, sus servidores generalmente rechazan las conexiones sin cifrar para garantizar la seguridad del usuario. Esta es la única razón por la que fallaron los intentos de conexión incorrectos de la aplicación myMail, por lo que los usuarios de mailbox.org y los administradores de correo comenzaron a sospechar.
Cliente de myMail: cifrado TLS incorrecto o inexistente
Este problema no solo es relevante para los clientes de mailbox.org: también representa un riesgo de seguridad general para todos los usuarios que utilizan el cliente myMail. Si otros proveedores permiten conexiones sin cifrar y la aplicación myMail continúa funcionando, terceros podrían robar contraseñas o leer el contenido de los correos electrónicos sin cifrar si se envían a través del cliente myMail, especialmente si los usuarios están en una red abierta.
El equipo de mailbox.org recomienda encarecidamente no utilizar el cliente myMail en relación con su servicio u otros proveedores de correo electrónico hasta que se hayan resuelto los problemas de seguridad. Existen numerosos clientes de correo electrónico alternativos que ofrecen estándares de seguridad más altos y una mejor protección de la privacidad del usuario. Al mismo tiempo, el incidente actual muestra una vez más lo importante que es comunicarse exclusivamente a través de sistemas que estén configurados de forma segura y apliquen el cifrado.
Más en mailbox.org
Vía mailbox.org
El especialista alemán en correo electrónico mailbox.org muestra que la soberanía digital, la seguridad y la protección de datos también se pueden combinar con comodidad y amplias funciones. Además de las funciones básicas clásicas del correo electrónico, los clientes privados y comerciales conscientes de la seguridad también reciben un calendario, libreta de direcciones, gestión de tareas, procesamiento de textos en línea y almacenamiento en la nube basado en una solución de código abierto.
Artículos relacionados con el tema