Postfach für iOS hat eine riesige Sicherheitslücke (Update: Es ist fixiert)

Postfach, die ordentlich iOS e-Mail-app, die vor kurzem gekauft von Dropbox, hat ein ziemlich weit aufgerissenen Loch, das schlechte Schauspieler, Ihr Gerät zu missbrauchen könnten. Und im Gegensatz zu Phishing-versuchen, die wahrscheinlich aus Ihrer Skizzenhaftigkeit Detektor festlegen sollte, beinhaltet dieses Manko e-Mails, die völlig harmlos aussehen.

Wie italienische Forscher Michele Spagnuolo zeigt, führt die Postfach-app JavaScript-Code in den Body einer HTML e-Mail-Nachricht eingebettet. Hier zeigt er, wie Öffnen einer Nachricht JavaScript ausgestattet iOS apps, autonom zu starten verursacht:

Während das Video den Fehler zeigt einige ziemlich Low-Key-apps starten, könnte böswillig kodierte e-Mails Ihr Telefon einige sehr wichtigen persönliche Daten zu gefährden. Es scheint nicht, eine Lösung für das Problem nur noch sein also wenn Sie Postfach auf Ihrem iOS-Gerät verwenden, ist es wahrscheinlich eine gute Idee, zu einer anderen e-Mail-Anwendung wechseln, bis dieses Problem sortiert ist.

Update: Hier ist des Postfachs Erklärung zu diesem Thema.

Vielen Dank an die Community für weiterhin Postfach so groß eine app wie möglich zu schieben. Wie andere erwähnt haben, sind die Risiken hier äußerst begrenzt durch die Inter-app-Sicherheit in iOS integriert. Abgesehen davon, wir arbeiten an einer Verbesserung zu e-Mail Formatierung, die das Problem vollständig zu mildern und wollen es bald Schiff.

2. Update: auf seinem Blog, Postfach sagt das Problem ist nun behoben:

[D] ie wir ein Verfahren implementiert, die JavaScript aus Nachrichten entfernt, bevor auf mobile Geräte zu liefern. Diese Funktion ist jetzt live auf Postfachservern und Filterung neue Mail.