核心提示:9月26日消息,据国外媒体报道,一个意大利电脑工程师称,他发现目前iOS系统上很受欢迎的应用程序Mailbox,有一个潜在的严重安全漏洞,将可能允许恶意电子邮件破坏你的设备系统。通过Spagnuolo拍摄的短片我们可以看到,简单的打开一个电子邮件将可能导致其它不同的应用程序被启动。
9月26日消息,据国外媒体报道,一个意大利电脑工程师称,他发现目前iOS系统上很受欢迎的应用程序Mailbox,有一个潜在的严重安全漏洞,将可能允许恶意电子邮件破坏你的设备系统。《Macworld》目前证实了这一消息。这个含有漏洞的Mailbox1.6.2版本目前仍可以从应用程序商店下载。
根据Michele Spagnuolo,漏洞允许JavaScript代码嵌入到HTML消息中并内部执行,因为Mailbox不会过滤存储的数据,这导致恶意代码可以无需用户干预便可执行。通过Spagnuolo拍摄的短片我们可以看到,简单的打开一个电子邮件将可能导致其它不同的应用程序被启动。由此可能导致的后果就是那些第三方软件能得到发展,例如“先进的垃圾邮件技术”,“跟踪用户”,“用一封电子邮件劫持用户”.。。可能还会有更糟糕的事情在用户不知情的情况下发生。
这个问题的根源可能是,Mailbox呈现HTML信息使用的是一个特殊的苹果控制——webview。因为webviews本质上市独立版本的Safari浏览器,它们也集成了所有浏览器的功能,包括支持执行JavaScript代码。
好消息是,这个问题也许并没有看起来那么糟糕,Spagnuolo同时指出,这个问题同样也在影响着Safari。这可能是苹果公司在网页浏览和应用程序间的切换上的设计导致的。这就如同iTunes的预览页面会自动启动应用程序商店一样。
iOS系统是一个紧密的沙箱,它的安全特性也是建立在此基础之上的,它通常不会允许在没有用户许可的情况下执行任何有害的操作(至少是在没有越狱的情况下)。例如,任何的Web页面可以开启一个新的短信,但是如果没有用户的操作,信息是不会被发送出去的。据说,如果Mailbox在webview上暴露了一些内部功能的问题,攻击者可能设法利用它并盗取个人信息,也有可能推出第三方的应用程序来执行必要的操作。
幸运的是,Mailbox的幕后工作者们应该可很容易的解决这个问题。大多数现代流行的电子邮件客户,包括iOS系统内置的应用程序,谷歌官方的邮件软件如Gmail,都已经过滤HTML电子邮件来防止这类问题,并且这个技术目前来看是很好被理解的。
Mailbox称,这个问题会在更新后的下一个版本得到解决,他们已经在为此而努力了。在此之前,很显然,我们需要很小心的使用这个程序,或者为了安全起见,可以先使用其它的软件。
责任编辑:wb001
查看心情排行你看到此篇文章的感受是:
版权声明
凡注明来源为"中津网"的所有文字、图片、音视频、美术设计和程序等作品,版权均属中津网或相关权利人专属所有或持有所有。未经本网书面授权,不得进行一切形式的下载、转载或建立镜像。否则以侵权论,依法追究相关法律责任。
