Ricercatori di sicurezza hanno trovato una falla nel rendering HTML dell’app Mail di Apple sia su macOS che iOS e permetterebbe agli hacker di estrarre i messaggi mail in chiaro.  In realtà la maggior parte delle email inviate quotidianamente non vengono crittografate mentre alcune persone che si appoggiano a servizi con protocolli S/MIME e PGP per criptare le comunicazioni sarebbero anch’essi a rischio.

La vulnerabilità affliggerebbe l’app Mail di Apple per macOS, iOS e perfino il client Thunderbird di Mozilla.

La nuova falla funzionerebbe in questo modo: l’hacker, una volta ottenuto il testo dell’email crittografato, invierebbe indietro il testo crittografato per ottenere il testo decriptato e in chiaro senza avere accesso alla chiave del mittente.

Andando un po’ più sul pratico apprendiamo che: l’attacco consisterebbe in tre parti, una dichiarazione parziale del tag HTML <img>, una stringa di testo crittografata seguita poi dalla chiusura del tag HTML immagine.

italiamac image1 Scoperta falla di sicurezza nellapp Mail per iOS e macOS

Quando il mittente apre l’email sul proprio client il proprio client di posta cercherebbe di caricare l’immagine dallo URL. Il server dell’hacker ottiene la richiesta e crea una copia del contenuto decriptato. Ovviamente lo URL è controllato da chi sta sferrando l’attacco.

 

italiamac image2 Scoperta falla di sicurezza nellapp Mail per iOS e macOS

Il risultato lo potete vedere qui sopra.

Questa falla nell’app Mail può ovviamente essere risolta con un aggiornamento software che senza dubbio sarà già in cantiere. Se siete interessati a maggiori dettagli sulla falla HTML trovate la spiegazione sul sito EFAIL.

Advertise