היזהר מהפגיעות ביישום הדואר הפופולרי של macOS
צילום: דואר אוויר
דואר אוויר 3, לקוח דוא"ל פופולרי עבור macOS, כולל פגיעות אבטחה גדולות שעלולות לסכן את הנתונים האישיים של המשתמשים.
חוקרים חשפו ניצול המאפשר לתוקפים לגנוב מיילים וקבצים מצורפים של משתמשים פשוט על ידי שכנועם לפתוח הודעה. ככה זה עובד.
דואר אוויר 3 מבטיח ביצועים מהירים ו"אינטראקציה אינטואיטיבית ". הוא עמוס במאפיינים, מעוצב בעיצוב אטרקטיבי ותומך בכל שירותי הדוא"ל העיקריים. אין זה פלא שדואר אוויר 3 הפך להיות כל כך פופולרי בקרב משתמשי macOS.
אבל יש משהו שאתה צריך לדעת לפני שאתה ממהר להוריד אותו.
היזהר מפגיעות דואר האוויר 3
VerSprite חוקרים גילו פגמים באופן שבו דואר אוויר 3 מטפל בבקשות כתובות אתרים, שתוקפים יכולים להשתמש בהן כדי לגנוב נתונים אישיים.
על ידי שליחת הודעה עם בקשת כתובת URL ספציפית - כזו שמשתמשת בחשאי בפונקציית "שלח דואר" של דואר אוויר 3 - תוקפים יכולים להשיג מיילים וקבצים מצורפים של משתמש לפני שיש להם מושג מה מתרחש.
החוקרים יכולים להטביע קוד אחר שמורה לדואר האוויר לצרף קבצים אחרים לדוא"ל היוצא.
פגיעות נוספת מאפשרת לתוקפים לבקש מסמכים ספציפיים ממאגר הנתונים של חשבון המשתמש. האקרים יכולים להשתמש בפגיעות שלישית של דואר אוויר כדי לעקוף מסנני HTML, ולמנוע זיהוי תוספים כלולים כזדוניים.
הרביעי מאפשר להתקפות להתרחש ברגע שמשתמש פותח הודעת דוא"ל. זה לא מחייב את המשתמש ללחוץ על קישור בתוך הדוא"ל. החוקרים דיווחו כי זה מנוצל רק במחצית מהזמן.
משתמשי iOS עשויים להיות בסיכון
החוקרים גילו את הפגמים הללו בגרסת macOS של דואר אוויר 3. לא ברור אם קיימות בעיות דומות בגרסת iOS. VerSprite דיווחה על כולם למפתחי דואר אוויר. עם זאת, החוקרים אומרים כי לא הונפקו תיקונים.
"הייתי נמנע משימוש בדואר אוויר 3 עד שהתיקון יתוקן", מייעץ חוקר VerSprite פאביוס ווטסון.
דואר אוויר סיפר AppleInsider כי עדכון לטיפול בבעיות אלה יגיע "כנראה היום". היזם גם מכנה את ההתקפות הפוטנציאליות "היפותטיות מאוד" ומתעקש שאף משתמש לא נפגע.