mailbox.org a découvert une vulnérabilité critique dans le client myMail pour iOS, qui est utilisé par des millions de personnes. Étant donné que la transmission du mot de passe s'effectue en clair, cela met en danger les utilisateurs. La vulnérabilité a été découverte par accident car un message d'erreur a été trouvé dans les journaux TLS. Les experts ont ensuite pu extraire les mots de passe.
L'équipe demailbox.org, le service de messagerie électronique basé à Berlin et spécialisé dans la protection et la sécurité des données, a découvert une vulnérabilité de sécurité critique dans le client myMail pour iOS qui conduit à la transmission non chiffrée des mots de passe et des e-mails des utilisateurs. mailbox.org a d'abord publié un avertissement correspondant aux utilisateurs de myMail sur son blog avec le chercheur en sécurité Mike Kuketz.
La vulnérabilité révèle les mots de passe
Les experts en sécurité de mailbox.org ont pris conscience de la faille de sécurité après que des clients du forum d'utilisateurs de mailbox.org aient signalé des erreurs de transmission lors de l'envoi d'e-mails via le client myMail. Après un examen approfondi des journaux, l'équipe a découvert que l'application myMail tentait de transmettre des mots de passe non sécurisés sans le cryptage TLS autrement requis, ce qui pose un énorme risque de sécurité. L'équipe de la boîte aux lettres.org a ainsi pu également extraire les mots de passe des utilisateurs des connexions.
Selon Peer Heinlein, directeur général de mailbox.org, leurs serveurs rejettent généralement les connexions non chiffrées afin d'assurer la sécurité des utilisateurs. C'est la seule raison pour laquelle les tentatives de connexion incorrectes de l'application myMail ont échoué, de sorte que les utilisateurs et les postmasters de mailbox.org sont devenus suspects.
Client myMail : cryptage TLS incorrect ou inexistant
Ce problème n'est pas seulement pertinent pour les clients de mailbox.org : il représente également un risque de sécurité général pour tous les utilisateurs qui utilisent le client myMail. Si d'autres fournisseurs autorisent des connexions non cryptées et que l'application myMail continue de fonctionner, des tiers pourraient voler des mots de passe ou lire le contenu des e-mails non cryptés s'ils sont envoyés via le client myMail, en particulier si les utilisateurs se trouvent dans un réseau ouvert.
L'équipe de mailbox.org recommande fortement de ne pas utiliser le client myMail en relation avec leur service ou d'autres fournisseurs de messagerie tant que les problèmes de sécurité n'ont pas été résolus. Il existe de nombreux clients de messagerie alternatifs qui offrent des normes de sécurité plus élevées et une meilleure protection de la vie privée des utilisateurs. Dans le même temps, l'incident actuel montre une fois de plus à quel point il est important de communiquer exclusivement via des systèmes configurés de manière sécurisée et appliquant le cryptage.
Plus sur boîte aux lettres.org
Via boite aux lettres.org
Le spécialiste allemand des e-mailsmailbox.org montre que la souveraineté numérique, la sécurité et la protection des données peuvent également être combinées avec la commodité et des fonctionnalités étendues. En plus des fonctions de base classiques de la messagerie électronique, les clients privés et professionnels soucieux de la sécurité reçoivent également un calendrier, un carnet d'adresses, une gestion des tâches, un traitement de texte en ligne et un stockage dans le cloud basés sur une solution open source.
Articles liés au sujet