Hoiduge selle populaarse macOS -i postirakenduse haavatavustest
Foto: lennupost
Airmail 3, populaarne macOS -i meiliklient, on varustatud suurte turvaaukudega, mis võivad ohustada kasutajate isikuandmeid.
Teadlased avastasid ärakasutuse, mis võimaldab ründajatel varastada kasutajate e -kirju ja manuseid, lihtsalt veendes neid sõnumit avama. Siin on, kuidas see toimib.
Airmail 3 lubab kiiret jõudlust ja „intuitiivset suhtlemist”. See on täis funktsioone, sellel on atraktiivne disain ja see toetab kõiki peamisi e -posti teenuseid. Pole ime, et Airmail 3 sai macOS -i kasutajate seas nii populaarseks.
Kuid enne allalaadimist kiirustades peaksite midagi teadma.
Ettevaatust Airmail 3 haavatavusega
VerSprite teadlased on avastanud vigu selles, kuidas Airmail 3 käsitleb URL -i päringuid, mida ründajad saaksid kasutada isikuandmete varastamiseks.
Saates sõnumi konkreetse URL -i päringuga - see, mis kasutab salaja funktsiooni „e -posti saatmine” Lennupost 3 - ründajad saavad kasutaja e -kirju ja manuseid hankida enne, kui neil on aimugi, mis on toimumas.
Uurijad hoiatavad, et manustada võib ka muud koodi, mis käsib Airmailil väljaminevale e -kirjale muid faile lisada.
Teine haavatavus võimaldab ründajatel taotleda kasutajakonto andmebaasist konkreetseid dokumente. Häkkerid võivad HTML -filtrite ümbersõitmiseks kasutada kolmandat Airmaili haavatavust, mis takistab kaasatud pistikprogrammide pahatahtlikuks tunnistamist.
Neljas võimaldab rünnakuid toimuda kohe, kui kasutaja avab e -kirja. See ei nõua kasutajalt e -kirjas oleva lingi klõpsamist. See ekspluateeritud töötas teadlaste sõnul vaid poole ajast.
iOS -i kasutajad võivad olla ohus
Teadlased avastasid need vead Airmail 3 macOS versioonis. Pole selge, kas sarnaseid probleeme esineb ka iOS -i versioonis. VerSprite teatas neist kõigist Airmaili arendajatele. Kuid teadlaste sõnul pole plaastreid väljastatud.
"Ma väldiksin Airmail 3 kasutamist, kuni see on parandatud," soovitab VerSprite'i uurija Fabius Watson.
Airmail rääkis AppleInsider et värskendus nende probleemide lahendamiseks saabub "tõenäoliselt täna". Arendaja nimetab ka võimalikke rünnakuid "väga hüpoteetilisteks" ja nõuab, et kasutajaid poleks see mõjutanud.