mailbox.org ha scoperto una vulnerabilità critica nel client myMail per iOS, utilizzato da milioni di persone. Poiché la trasmissione della password avviene in modo non crittografato, ciò mette in pericolo gli utenti. La vulnerabilità è stata scoperta per caso perché è stato trovato un messaggio di errore nei log TLS. Gli esperti sono stati quindi in grado di estrarre le password.
Il team di mailbox.org, il servizio di posta elettronica con sede a Berlino specializzato nella protezione e nella sicurezza dei dati, ha scoperto una vulnerabilità di sicurezza critica nel client myMail per iOS che porta alla trasmissione non crittografata delle password degli utenti e delle e-mail. mailbox.org ha pubblicato per la prima volta un avviso corrispondente agli utenti di myMail sul suo blog insieme al ricercatore di sicurezza Mike Kuketz.
La vulnerabilità rivela le password
Gli esperti di sicurezza di mailbox.org si sono resi conto della lacuna di sicurezza dopo che i clienti nel forum degli utenti di mailbox.org hanno segnalato errori di trasmissione durante l'invio di e-mail tramite il client myMail. Dopo un esame approfondito dei registri, il team ha scoperto che l'app myMail sta tentando di trasmettere password non protette senza la crittografia TLS altrimenti richiesta, il che rappresenta un enorme rischio per la sicurezza. Il team di mailbox.org è stato così anche in grado di estrarre le password degli utenti dalle connessioni.
Secondo Peer Heinlein, amministratore delegato di mailbox.org, i loro server generalmente rifiutano le connessioni non crittografate per garantire la sicurezza degli utenti. Questo è l'unico motivo per cui i tentativi di connessione errati dell'app myMail sono falliti, tanto che gli utenti e i postmaster di mailbox.org si sono insospettiti.
Client myMail: crittografia TLS errata o assente
Questo problema non è rilevante solo per i clienti di mailbox.org: rappresenta anche un rischio generale per la sicurezza di tutti gli utenti che utilizzano il client myMail. Se altri provider consentono connessioni non crittografate e l'app myMail continua a funzionare, terze parti potrebbero rubare password o leggere il contenuto delle e-mail non crittografate se inviate tramite il client myMail, soprattutto se gli utenti si trovano in una rete aperta.
Il team di mailbox.org consiglia vivamente di non utilizzare il client myMail in connessione con il proprio servizio o altri provider di posta elettronica fino a quando i problemi di sicurezza non saranno stati risolti. Esistono numerosi client di posta elettronica alternativi che offrono standard di sicurezza più elevati e una migliore protezione della privacy degli utenti. Allo stesso tempo, l'attuale incidente mostra ancora una volta quanto sia importante comunicare esclusivamente tramite sistemi configurati in modo sicuro e applicare la crittografia.
Altro su mailbox.org
Tramite mailbox.org
Lo specialista tedesco di e-mail mailbox.org dimostra che la sovranità digitale, la sicurezza e la protezione dei dati possono anche essere combinate con praticità e funzionalità estese. Oltre alle classiche funzioni di base della posta elettronica, i clienti privati e commerciali attenti alla sicurezza ricevono anche un calendario, una rubrica, una gestione delle attività, un'elaborazione di testi online e un archivio cloud basato su una soluzione open source.
Articoli relativi all'argomento