mailbox.org виявив критичну вразливість у клієнті myMail для iOS, яким користуються мільйони людей. Оскільки передача пароля відбувається незашифровано, це створює небезпеку для користувачів. Уразливість була виявлена випадково, оскільки в журналах TLS було знайдено повідомлення про помилку. Тоді експерти змогли витягти паролі.
Команда mailbox.org, берлінської служби електронної пошти, що спеціалізується на захисті та безпеці даних, виявила критичну вразливість у клієнті myMail для iOS, яка призводить до незашифрованої передачі паролів користувачів і електронних листів. mailbox.org вперше опублікував відповідне попередження користувачам myMail у своєму блозі спільно з дослідником безпеки Майком Кукетцем.
Уразливість розкриває паролі
Експерти з безпеки на mailbox.org дізналися про прогалину в безпеці після того, як клієнти на форумі користувачів mailbox.org вказали на помилки передачі під час надсилання електронних листів через клієнт myMail. Після ретельного вивчення журналів команда виявила, що програма myMail намагається передавати незахищені паролі без необхідного шифрування TLS, що створює величезний ризик для безпеки. Таким чином команда mailbox.org також змогла отримати паролі користувачів із з’єднань.
За словами Пеера Хайнлайна, керуючого директора mailbox.org, їхні сервери зазвичай відхиляють незашифровані з’єднання, щоб забезпечити безпеку користувачів. Це єдина причина, чому некоректні спроби підключитися додатку myMail зазнали невдачі, тому користувачі mailbox.org і поштмейстери стали підозрілими.
Клієнт myMail: неправильне або відсутнє шифрування TLS
Ця проблема актуальна не лише для клієнтів mailbox.org: вона також становить загальний ризик безпеки для всіх користувачів, які використовують клієнт myMail. Якщо інші постачальники дозволяють незашифровані з’єднання, а програма myMail продовжує працювати, треті сторони можуть викрасти паролі або прочитати вміст незашифрованих електронних листів, якщо вони надсилаються через клієнт myMail, особливо якщо користувачі перебувають у відкритій мережі.
Команда mailbox.org наполегливо рекомендує не використовувати клієнт myMail у зв’язку зі своїми службами або іншими постачальниками електронної пошти, доки проблеми безпеки не будуть вирішені. Існує багато альтернативних поштових клієнтів, які пропонують вищі стандарти безпеки та кращий захист конфіденційності користувачів. У той же час поточний інцидент ще раз показує, наскільки важливо спілкуватися виключно через системи, які налаштовані безпечно та застосовують шифрування.
Більше на mailbox.org
Через mailbox.org
Німецький фахівець з електронної пошти mailbox.org показує, що цифровий суверенітет, безпека та захист даних також можна поєднати зі зручністю та широкими можливостями. На додаток до класичних основних функцій електронної пошти, приватні та бізнес-клієнти, які піклуються про безпеку, також отримують календар, адресну книгу, керування завданнями, онлайн-обробку текстів і хмарне сховище на основі рішення з відкритим кодом.
Статті по темі