Dejte si pozor na slabá místa v této populární poštovní aplikaci macOS
Airmail 3, oblíbený e -mailový klient pro macOS, je dodáván s velkými bezpečnostními chybami, které mohou ohrozit osobní data uživatelů.
Vědci odhalili exploit, který umožňuje útočníkům ukrást e -maily a přílohy uživatelů jednoduše tím, že je přesvědčí, aby otevřeli zprávu. Zde je návod, jak to funguje.
Airmail 3 slibuje rychlý výkon a „intuitivní interakci“. Dodává se s funkcemi, má atraktivní design a podporuje všechny hlavní e -mailové služby. Není divu, že se Airmail 3 stal mezi uživateli macOS tak populární.
Je ale něco, co byste měli vědět, než se ponoříte si jej stáhnout.
Dávejte si pozor na zranitelnost Airmail 3
VerSprite vědci objevili nedostatky ve způsobu, jakým Airmail 3 zpracovává požadavky na adresy URL, které by útočníci mohli použít ke krádeži osobních údajů.
Odesláním zprávy s konkrétním požadavkem URL - zprávou, která tajně používá funkci „odeslat poštu“ Airmail 3 - útočníci mohou získat e -maily a přílohy uživatele dříve, než vůbec tuší, co to je happening.
Vědci varují, že by mohl být vložen jiný kód, který instruuje Airmail, aby k odchozímu e -mailu připojil další soubory.
Další chyba zabezpečení umožňuje útočníkům požadovat konkrétní dokumenty z databáze uživatelských účtů. Hackeři mohli použít třetí zranitelnost Airmailu k obejití HTML filtrů, čímž by zabránili identifikaci zahrnutých pluginů jako škodlivých.
Čtvrtý umožňuje útokům, jakmile uživatel otevře e -mail. Nevyžaduje, aby uživatel klikl na odkaz v e -mailu. Podle výzkumníků tento vykořisťovaný fungoval jen polovinu času.
Uživatelé systému iOS mohou být ohroženi
Vědci tyto nedostatky objevili ve verzi Airmail 3 pro macOS. Není jasné, zda ve verzi pro iOS existují podobné problémy. VerSprite je všechny oznámil vývojářům Airmailu. Vědci však tvrdí, že nebyly vydány žádné opravy.
"Vyhnul bych se používání Airmailu 3, dokud to nebude opraveno," radí výzkumník VerSprite Fabius Watson.
Řekla letecká pošta AppleInsider že aktualizace k řešení těchto problémů dorazí „pravděpodobně dnes“. Vývojář také označuje potenciální útoky za „velmi hypotetické“ a trvá na tom, že nebyli ovlivněni žádní uživatelé.