mailbox.org descobriu uma vulnerabilidade crítica no cliente myMail para iOS, que é usado por milhões. Como a transmissão da senha ocorre sem criptografia, isso coloca os usuários em perigo. A vulnerabilidade foi descoberta acidentalmente porque uma mensagem de erro foi encontrada nos logs TLS. Os especialistas conseguiram então extrair as senhas.
A equipe do mailbox.org, o serviço de e-mail com sede em Berlim especializado em proteção e segurança de dados, descobriu uma vulnerabilidade de segurança crítica no cliente myMail para iOS que leva à transmissão não criptografada de senhas e e-mails de usuários. mailbox.org publicou pela primeira vez um aviso correspondente aos usuários do myMail em seu blog junto com o pesquisador de segurança Mike Kuketz.
Vulnerabilidade revela as senhas
Os especialistas em segurança da caixa de correio.org tomaram conhecimento da falha de segurança depois que os clientes do fórum de usuários da caixa de correio.org apontaram erros de transmissão ao enviar e-mails por meio do cliente myMail. Após um exame minucioso dos logs, a equipe descobriu que o aplicativo myMail está tentando transmitir senhas não seguras sem a criptografia TLS necessária, o que representa um grande risco de segurança. A equipe do mailbox.org também conseguiu extrair as senhas dos usuários das conexões.
De acordo com Peer Heinlein, diretor administrativo da mailbox.org, seus servidores geralmente rejeitam conexões não criptografadas para garantir a segurança do usuário. Esta é a única razão pela qual as tentativas incorretas de conexão do aplicativo myMail falharam, de modo que os usuários e postmasters do mailbox.org ficaram desconfiados.
cliente myMail: criptografia TLS incorreta ou sem criptografia
Esse problema não é relevante apenas para os clientes do mailbox.org: ele também representa um risco de segurança geral para todos os usuários que usam o cliente myMail. Se outros provedores permitirem conexões não criptografadas e o aplicativo myMail continuar funcionando, terceiros podem roubar senhas ou ler o conteúdo dos e-mails não criptografados se forem enviados pelo cliente myMail, especialmente se os usuários estiverem em uma rede aberta.
A equipe do mailbox.org recomenda enfaticamente não usar o cliente myMail em conexão com seu serviço ou outros provedores de e-mail até que os problemas de segurança sejam resolvidos. Existem inúmeros clientes de e-mail alternativos que oferecem padrões de segurança mais elevados e melhor proteção da privacidade do usuário. Ao mesmo tempo, o incidente atual mostra mais uma vez como é importante se comunicar exclusivamente por meio de sistemas configurados de forma segura e com criptografia obrigatória.
Mais em mailbox.org
Por email.org
O especialista alemão em e-mail mailbox.org mostra que soberania digital, segurança e proteção de dados também podem ser combinadas com conveniência e recursos abrangentes. Além das funções básicas clássicas de e-mail, os clientes particulares e empresariais preocupados com a segurança também recebem um calendário, catálogo de endereços, gerenciamento de tarefas, processamento de texto on-line e armazenamento em nuvem com base em uma solução de código aberto.
Artigos relacionados ao tema