| 22 августа 2018 г. — 5:24 PT
Исследователи безопасности из Versprite выявили уязвимости безопасности в Airmail для Mac, которые могут раскрыть частные данные, включая базу данных всей учетной записи. Атака требует, чтобы пользователь открыл специально созданное электронное письмо и перешел по ссылке в сообщении. Сочетание технического эксплойта и фишинговой атаки выглядит как серьезная проблема.
Полный разбор уязвимостей можно прочитать в блоге Versprite. По сути, исследователи заметили, что Airmail регистрирует пользовательскую схему URL-адресов, которая может автоматически отправлять исходящее письмо с определенным содержимым и данными вложений.
Они также обнаружили, что база данных почты, где Airmail хранит сообщения для учетной записи, находится в «детерминированном» месте в файловой системе. Беспринципный злоумышленник может объединить эту информацию.
Можно создать ссылку, использующую схему URL-адресов Airmail, так, что при нажатии получателем будет отправлено новое письмо «хакеру», которое прикрепит все почтовые сообщения пользователя.
На данный момент это довольно серьезная проблема безопасности, хотя есть некоторые меры смягчения. Во-первых, злоумышленник должен знать, что кто-то использует Airmail, и заставить получателя перейти по ссылке в отправленном письме, чтобы это сработало. Эта конкретная атака также не сработает, если имя учетной записи изменено с стандартного. Злоумышленники выявили связанную уязвимость, которая устраняла бы требуемый шаг взаимодействия с пользователем, но они не смогли надежно ее выполнить.
Если бы это было использовано в реальном мире, вредоносная ссылка, вероятно, была бы замаскирована под какое-нибудь фишинговое письмо. Пугающее предупреждение вроде «Нажмите здесь, чтобы увидеть важное сообщение от вашего банка» было бы достаточно, чтобы побудить многих людей нажать.
К счастью, существуют очевидные способы, которыми Airmail может защититься от таких типов эксплойтов, поэтому, мы надеемся, будет оперативно выпущено обновление, устраняющее векторы атаки.