Méfiez-vous des vulnérabilités de cette application de messagerie macOS populaire
Photo: poste aérienne
Airmail 3, un client de messagerie populaire pour macOS, est livré avec de grandes vulnérabilités de sécurité qui pourraient mettre en danger les données personnelles des utilisateurs.
Les chercheurs ont découvert un exploit qui permet aux attaquants de voler les e-mails et les pièces jointes des utilisateurs simplement en les convainquant d'ouvrir un message. Voilà comment cela fonctionne.
Airmail 3 promet des performances rapides et une « interaction intuitive ». Il est doté de nombreuses fonctionnalités, arbore un design attrayant et prend en charge tous les principaux services de messagerie. Il n'est pas étonnant qu'Airmail 3 soit devenu si populaire parmi les utilisateurs de macOS.
Mais il y a quelque chose que vous devez savoir avant de vous précipiter pour le télécharger.
Attention à la vulnérabilité Airmail 3
VerSprite les chercheurs ont découvert des failles dans la façon dont Airmail 3 traite les requêtes d'URL, que les attaquants pourraient utiliser pour voler des données personnelles.
En envoyant un message avec une demande d'URL spécifique - une qui utilise secrètement la fonction "envoyer un courrier" de Airmail 3 - les attaquants peuvent obtenir les e-mails et les pièces jointes d'un utilisateur avant d'avoir la moindre idée de ce qui est événement.
Un autre code pourrait être intégré pour demander à Airmail de joindre d'autres fichiers à l'e-mail sortant, préviennent les chercheurs.
Une autre vulnérabilité permet aux attaquants de demander des documents spécifiques à partir de la base de données des comptes utilisateurs. Les pirates pourraient utiliser une troisième vulnérabilité Airmail pour contourner les filtres HTML, empêchant ainsi les plugins inclus d'être identifiés comme malveillants.
Un quatrième permet aux attaques d'avoir lieu dès qu'un utilisateur ouvre un e-mail. Il n'est pas nécessaire que l'utilisateur clique sur un lien dans l'e-mail. Cet exploité ne fonctionnait que la moitié du temps, selon les chercheurs.
Les utilisateurs d'iOS peuvent être à risque
Les chercheurs ont découvert ces failles dans la version macOS d'Airmail 3. Il n'est pas clair si des problèmes similaires existent dans la version iOS. VerSprite les a tous signalés aux développeurs d'Airmail. Cependant, les chercheurs disent qu'aucun correctif n'a été publié.
« J'éviterais d'utiliser Airmail 3 jusqu'à ce que ce problème soit résolu », conseille Fabius Watson, chercheur chez VerSprite.
La poste aérienne a dit AppleInsider qu'une mise à jour pour résoudre ces problèmes arrivera "probablement aujourd'hui". Le développeur qualifie également les attaques potentielles de "très hypothétiques" et insiste sur le fait qu'aucun utilisateur n'a été affecté.