mailbox.org, milyonlarca kişi tarafından kullanılan iOS için myMail istemcisinde kritik bir güvenlik açığı keşfetti. Şifre iletimi şifresiz gerçekleştiği için bu durum kullanıcıları tehlikeye atmaktadır. Güvenlik açığı, TLS günlüklerinde bir hata mesajı bulunduğundan kazara keşfedildi. Uzmanlar daha sonra şifreleri çıkarabildiler.
Veri koruma ve veri güvenliği konusunda uzmanlaşmış, Berlin merkezli e-posta hizmeti olan mailbox.org ekibi, iOS için myMail istemcisinde, kullanıcı parolalarının ve e-postaların şifrelenmemiş iletimine yol açan kritik bir güvenlik açığı keşfetti. mailbox.org güvenlik araştırmacısı Mike Kuketz ile birlikte kendi blogunda myMail kullanıcılarına ilgili bir uyarı yayınladı.
Güvenlik açığı şifreleri ortaya çıkarıyor
mailbox.org'daki güvenlik uzmanları, mailbox.org kullanıcı forumundaki müşterilerin myMail istemcisi aracılığıyla e-posta gönderirken iletim hatalarını belirtmesinden sonra güvenlik açığının farkına vardı. Ekip, günlükleri kapsamlı bir şekilde inceledikten sonra, myMail uygulamasının, büyük bir güvenlik riski oluşturan, aksi takdirde gerekli olan TLS şifrelemesi olmadan şifreleri güvenli olmayan bir şekilde iletmeye çalıştığını keşfetti. Mailbox.org ekibi böylece bağlantılardan kullanıcı şifrelerini de çıkarabildi.
Mailbox.org'un Genel Müdürü Peer Heinlein'e göre sunucuları, kullanıcı güvenliğini sağlamak için genellikle şifrelenmemiş bağlantıları reddediyor. myMail uygulamasının yanlış bağlantı denemelerinin başarısız olmasının tek nedeni budur, bu nedenle mailbox.org kullanıcıları ve posta yöneticileri şüphelenmeye başladı.
myMail istemcisi: Yanlış veya TLS şifrelemesi yok
Bu sorun yalnızca mailbox.org müşterilerini ilgilendirmiyor: Aynı zamanda myMail istemcisini kullanan tüm kullanıcılar için genel bir güvenlik riski oluşturuyor. Diğer sağlayıcılar şifrelenmemiş bağlantılara izin verirse ve myMail uygulaması çalışmaya devam ederse, özellikle kullanıcılar açık bir ağdaysa, üçüncü taraflar myMail istemcisi aracılığıyla gönderilirse şifreleri çalabilir veya şifrelenmemiş e-postaların içeriğini okuyabilir.
mailbox.org ekibi, güvenlik sorunları çözülene kadar myMail istemcisinin kendi hizmetleri veya diğer e-posta sağlayıcıları ile bağlantılı olarak kullanılmamasını şiddetle tavsiye eder. Daha yüksek güvenlik standartları ve kullanıcı gizliliğinin daha iyi korunmasını sağlayan çok sayıda alternatif e-posta istemcisi vardır. Aynı zamanda, mevcut olay, yalnızca güvenli bir şekilde yapılandırılmış ve şifreleme uygulayan sistemler aracılığıyla iletişim kurmanın ne kadar önemli olduğunu bir kez daha gösteriyor.
Daha fazlası mailbox.org'da
mailbox.org aracılığıyla
Alman e-posta uzmanı mailbox.org, dijital egemenlik, güvenlik ve veri korumanın kolaylık ve kapsamlı özelliklerle birleştirilebileceğini gösteriyor. Güvenlik bilincine sahip özel ve kurumsal müşteriler, klasik e-posta temel işlevlerine ek olarak, açık kaynaklı bir çözüme dayalı bir takvim, adres defteri, görev yönetimi, çevrimiçi kelime işlemci ve bulut depolama da alır.
Konuyla ilgili makaleler