Verspriteのセキュリティ研究者は、Mac版Airmailにセキュリティ上の欠陥を発見しました。この脆弱性により、アカウント全体のメールデータベースを含む個人情報が漏洩する可能性があります。この攻撃では、ユーザーは悪意のあるメールを開き、メッセージ内のリンクをタップする必要があります。技術的な脆弱性とフィッシング攻撃が組み合わさっているため、深刻な問題となる可能性があります。

脆弱性の詳細は、Verspriteブログでご覧いただけます。研究者たちは、Airmailが特定のコンテンツと添付ファイルを含むメールを自動的に送信できるカスタムURLスキームを登録していることに着目しました。

また、Airmailがアカウントのメールメッセージを保存するメールデータベースが、ファイルシステム内の「決定論的」な場所に配置されていることも発見されました。悪意のある攻撃者は、これら2つの情報を組み合わせることができます。

Airmail URL スキームを使用するリンクを作成し、受信者がそれをタップすると、ユーザーからのすべてのメール メッセージが添付された新しいメールが「ハッカー」に送信されるようにします。

現状では、これはかなり大きなセキュリティ問題ですが、いくつかの緩和策を検討する必要があります。まず、攻撃者は誰かがAirmailを使用していることを把握し、受信者に送信したメール内のリンクをクリックさせる必要があります。また、この攻撃は、アカウント名をデフォルトから変更した場合には機能しません。攻撃者は、必要なユーザーインタラクションのステップを完全に排除する関連する脆弱性を特定しましたが、確実に実行することはできませんでした。

これが現実世界で悪用された場合、悪意のあるリンクは何らかのフィッシングメールに偽装される可能性が高いでしょう。「銀行からの重要なメッセージを見るにはここをクリックしてください」といった恐ろしい警告があれば、多くの人がクリックしてしまうでしょう。

幸いなことに、Airmail にはこうしたタイプの攻撃から防御できる明らかな方法がいくつかあるため、攻撃ベクトルに対処するアップデートが速やかにリリースされることが期待されます。

pracool.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。