Security Researcher paljastaa iPhone-suunnittelun puutteet

Ensimmäinen koskee iPhonen sähköpostiohjelmaa, joka automaattisesti lataa kuvia sähköpostissa, sanoo tietoturva-tutkija Aviv Raffi torstaina.

Tämä on ongelmallista, koska kuva viittaa palvelinpuolen komentosarjaan, kun se ladataan, mikä osoittaa lähettäjälle, että sähköposti on avattu ja sähköpostiosoite on kelvollinen. Osoite voidaan sitten lähettää roskapostia.

[Lue lisää: Paras Android-puhelin jokaiselle budjetille.]

Sähköpostiohjelmat on yleensä määritetty estämään kuvat luottamuksellisista lähteistä ongelman välttämiseksi, Raff sanoi. Hän ehdottaa, että käyttäjät eivät yritä käyttää sähköpostisovellusta tai olla varovaihtoehtoja, kun napsautat epäluotettavalla lähteellä lähetettävää sähköpostia.

Toinen suunnitteluvirhe on, miten iPhone-sähköpostiohjelma näyttää URL-osoitteet (Uniform Resource paikantimet). Viestit voidaan näyttää tavallisessa tekstissä tai HTML-muodossa (Hypertext Markup Language). Kun HTML-tilassa käyttäjä voi saada sähköpostiviestin, jossa linkin teksti eroaa varsinaisesta linkistä. Todellinen linkki voidaan näyttää liikkumalla tekstin päälle ja ponnahdusikkuna paljastaa URL-osoitteen. Mutta ongelma on ponnahdusikkuna, joka rikkoo URL-osoitetta, koska ruudulla ei ole tarpeeksi tilaa.

Hyökkääjä voi luoda verkkosivuston, jolla on pitkä aliverkkotunnus, jotta hämätä käyttäjä ajattelemaan, että se on laillinen sivusto. Itse asiassa verkkosivusto, joka on suunniteltu huijata henkilöä paljastamaan henkilökohtaisia ​​tietojasi, kuten phishing-sivusto, Raff sanoi.

Kun huono linkki on palvellut Safari-selaimessa, käyttäjä voi silti nähdä vain murto-osan URL-osoite. Jos osoitepalkki napsautetaan mobiililaitteessa Safari, kohdistin siirtyy URL-osoitteen loppuun, joten henkilön on vierähtää nähdä URL-osoite kokonaisuudessaan, Raff kirjoitti blogissaan.

Applen mobiili Safari eikä työpöytä versio selaimesta on tietojenkalastelusuodatin.

Raff kertoi ilmoittaneen Apple yli kaksi kuukautta sitten suunnittelun puutteista. Raff sanoi, että hän päätti julkistaa tiedot, koska Apple on julkaissut vähintään kolme iPhone-päivitystä, mutta ei ole ottanut yhteyttä

"Luulen, että he asettavat omille käyttäjilleen paljon enemmän riskejä, kun he eivät korjaa tätä", Raff sanoi haastattelussa. "Ainakin nyt käyttäjät, jotka lukevat tämän, tietävät olevansa varovaisia. Ainoa asia on, kunnes pahikset löytävät tämän kaiken."

Applea ei saatu välittömästi kommentoimaan.