La vulnerabilità è stata scoperta qualche giorno fa da un italiano Michele Spagnuolo che ha pubblicato sul suo blog il POC per sfruttare la falla. Non sembrano finiti i problemi per Apple dopo l’aggiornamento al suo nuovo iOS7, che ha mostrato diverse vulnerabilità, anche banali come la visualizzazione della gallery del telefono bypassando il pin, fino al crack del fingerprint che prometteva sicurezza ma invece si è rivelato un buco nell’acqua.
Mailbox.app è l’applicazione per la lettura della posta elettronica su dispositivi iOS. Per la precisione le versioni vulnerabili sono dalla 1.6.2 in poi. Questa vulnerabilità permette di eseguire codice javascript all’apertura dell’email. Un bug di sicurezza molto rilevante dal punto di vista della privacy e dalle innumerevoli possibilità di utilizzo.
L’ultimo aggiornamento pubblico risale ad oggi 26 Settembre in cui sembra che ci sia in atto un botta e risposta tra la comunità che sviluppa l’app Mailbox ( Dropbox) e Michele. Dopo che Dropbox, ha rilasciato la patch per risolvere il presunto problema, Michele ha di nuovo bypassato la patch appena rilasciata.
Purtroppo non ha rilasciato dettagli della seconda vulnerabilità per motivi etici.
Di seguito un video dove viene mostrato il POC.
La vulnerabilità resta ancora attiva.
Purtroppo nell’applicazione non viene data la possibilità di disattivare il javascript pertanto anche volendo arginare manualmente la cosa non è possibile.
Ovviamente non voglio tentarvi da eseguire attacchi ma le possibilità di utilizzo di una falla simile sono innumerevoli, soprattutto su un telefono rootato e senza antivirus o applicazioni che segnalano la possibilità di attività illecite. Basta usare la fantasia.
Cheers!
Comments by Fabio Natalucci
Postfix: come configurare smtp esterno
Perfetto! Sono contento che ti sia stata utile.