| 2 окт 2008 — 11:08 PT
Исследователь в области безопасности Авив Рафф обнародовал информацию о двух уязвимостях безопасности в iPhone, о которых он предупредил Apple еще несколько месяцев назад.
Исследователь заявил, что решил опубликовать информацию о работе этих уязвимостей в своем блоге, поскольку Apple выпустила как минимум три обновления программного обеспечения для iPhone с момента его уведомления компании об уязвимостях и не предприняла никаких шагов для защиты мобильной системы от них. Он сообщил компании об этих проблемах еще в июле.
Уязвимости находятся в приложении Mail.
Mail автоматически загружает изображения – изображения, которые могут быть скомпрометированы, и при их загрузке URL изображения проверяет источник, что позволяет спамерам собирать адреса электронной почты.
Вторая неисправность связана с обработкой URL-адресов в Mail.
«Приложение Mail на iPhone может использоваться для просмотра сообщений как в формате HTML, так и в формате обычного текста. Когда сообщение находится в формате HTML, текст ссылок может быть установлен на другой URL-адрес, отличный от фактического. В большинстве почтовых клиентов (например, на вашем ПК/Mac) вы можете просто навести курсор на ссылку, и появится всплывающая подсказка, которая сообщит вам фактический URL-адрес, на который вы собираетесь нажать», – объясняет исследователь.
Поскольку пользователь iPhone, нажимающий на ссылку, может видеть только начальную часть ссылки, злоумышленник может «создать длинный поддомен (~24 символа), который при обрезании посередине будет выглядеть как доверенный домен». Это ставит пользователя iPhone под угрозу фишинговой атаки в ситуациях, когда сокращенная ссылка маскируется под доверенный сайт, такой как Amazon.
Лучший совет, конечно, не нажимать на ссылки, когда вы собираетесь предоставить личную информацию – для этого вручную вводите URL-адреса и не открывайте изображения от людей, которым вы не доверяете.
О своем решении обнародовать эти проблемы исследователь сказал: «Я раскрыл технические детали Apple за несколько недель до этой публикации в надежде как можно скорее устранить эти проблемы безопасности. К сожалению, прошло два с половиной месяца, а патча для этих уязвимостей до сих пор нет. Я несколько раз спрашивал Apple о графике, но они отказались предоставить дату исправления».