Alcuni analisti di sicurezza hanno trovato una falla nel motore di rendering HTML delle app Mail di iOS e macOS, che permetterebbe ad un utente malintenzionato di visualizzare il testo delle e-mail (anche criptate). Normalmente, la maggior parte delle e-mail che inviamo tutti i giorni non è crittografata, ma è bensì del semplice testo in chiaro, che una volta acquisito, potrebbe leggere chiunque.
Alcuni servizi di posta elettronica mettono a disposizione delle tecniche di crittografia del testo che permettono di rendere la mail illeggibile ad un eventuale hacker che ne entrasse in possesso. Il problema risiede nel motore di rendering HTML, che in questo caso si occupa anche di gestire parte del processo di crittografia. Nello specifico, gli standard S/MIME e GPG permettono di crittografare il testo utilizzando la crittografia asimmetrica, in modo che soltanto mittente ed il destinatario possano visualizzarla in chiaro.
FALLA DI SICUREZZA NELL’APP MAIL DI APPLE.
La falla consiste nell’utilizzo del tag <img> di HTML, che permette di inserire immagini all’interno dei siti web e, appunto, delle e-mail. Utilizzando una combinazione di tag <img> e di una stringa che emula l’URL dell’immagine che dovrebbe essere visualizzata, l’hacker può sfruttare la richiesta che il client invia al server per leggere il testo che, ormai, è stato già decriptato dal computer della vittima.
La falla di sicurezza, in questo caso, è davvero subdola e pericolosa, perché permetterebbe ad un eventuale malintenzionato di accedere al testo delle proprie e-mail anche utilizzando un protocollo di crittografia comune. Il mio consiglio per evitare situazioni del genere, è quello utilizzare un servizio tunneling VPN che vi permette di criptare tutto il traffico dati che scambiate tra la vostra macchina e un qualsiasi server sulla rete. Così facendo sarete sicuri che in ogni caso, qualsiasi tipo di dato voi scambiate (che sia in chiaro o meno), non finirà nelle mani di persone con cattive intenzioni. Ovviamente, accertatevi che il servizio VPN sia offerto da una fonte affidabile.
Alternativamente, per chi non se la sentisse di smanettare un po’, è possibile metterci una pezza, andando a disabilitare il caricamento automatico del contenuto delle e-mail recandosi (nel caso del Mac) in Mail – Preferenze – Vista e rimuovendo la spunta “Carica contenuto remoto dei messaggi”. In questo modo, il client non scaricherà automaticamente il contenuto, ma chiederà esplicitamente all’utente un consenso.
Via: Italiamac
