Security Researcher Nagpapakita ng mga Disenyo ng iPhone

Ang una ay tungkol sa e-mail application ng iPhone, na awtomatikong nagda-download ng mga imahe sa loob ng isang e-mail, sinabi Aviv Raff, isang tagapagpananaliksik ng seguridad, sa Huwebes.

Iyan ay problemado dahil ang imahe ay sumangguni pabalik sa isang server-side script kapag ito ay na-download, na nagpapahiwatig sa nagpadala na ang e-mail ay nabuksan at ang e-mail address ay may-bisa. Ang address ay maaaring pagkatapos ay spammed.

[Karagdagang pagbabasa: Ang pinakamahusay na mga teleponong Android para sa bawat badyet.]

Ang mga application ng e-mail ay kadalasang naka-configure upang harangan ang mga larawan mula sa mga hindi pinagkakatiwalaang mga mapagkukunan upang maiwasan ang problema, sinabi ni Raff. Siya ay nagpapahiwatig na ang mga gumagamit ay maiiwasang gamitin ang application ng e-mail o mag-ingat kapag nag-click sa mga link sa isang e-mail na nagmumula sa isang hindi pinagkakatiwalaang pinagmulan.

Ang ikalawang disenyo ng kapintasan ay kung paano nagpapakita ng e-mail ang iPhone application (Mga Uniform Resource Locators). Maaaring ipakita ang mga mensahe sa plain text o HTML (Hypertext Markup Language). Kapag nasa HTML mode, makakakuha ang isang user ng isang e-mail kung saan ang teksto ng link ay iba sa aktwal na link. Maaaring ipakita ang tunay na link sa pamamagitan ng pag-aaplay sa teksto, at isang window ng pop-up ang nagpapakita ng URL. Ngunit ang problema ay ang window ng pop-up na truncates ng URL dahil walang sapat na espasyo sa screen.

Ang isang magsasalakay ay maaaring lumikha ng isang Web site na may isang mahabang subdomain upang lokohin ang isang user sa pag-iisip na ito ay isang lehitimong site. Sa katunayan, isang Web site na dinisenyo upang linlangin ang isang tao sa pagbubunyag ng personal na impormasyon, na kilala bilang isang phishing site, sinabi ni Raff.

Matapos ang masamang link ay nakasalalay sa Safari Web browser, ang user ay maaari pa ring makakita lamang ng isang bahagi ng ang URL. Kung ang address bar ay na-click sa mobile Safari, ang cursor ay tumalon sa dulo ng URL, kaya ang isang tao ay dapat mag-scroll pabalik upang makita ang URL sa kabuuan nito, isinulat ni Raff sa kanyang blog.

Wala sa mobile na Apple ng Safari o sa desktop Ang bersyon ng browser ay may filter na phishing.

Sinabi ni Raff na sinabi niya sa Apple mahigit dalawang buwan na ang nakakaraan tungkol sa mga depekto sa disenyo. Sinabi ng kumpanya sa Raff na sila ay nagtatrabaho sa mga pag-aayos ngunit hindi sinabi kapag ang mga pag-aayos ay ilalabas.

Raff sinabi siya nagpasya na pumunta sa publiko sa impormasyon dahil ang Apple ay dahil inilabas ng hindi bababa sa tatlong mga pag-update iPhone ngunit hindi natugunan ang mga isyu.

"Sa tingin ko inilalagay nila ang kanilang sariling mga gumagamit sa mas higit na panganib sa pamamagitan ng hindi pag-aayos nito," sinabi ni Raff sa isang interbyu. "Hindi bababa sa ngayon ang mga gumagamit na basahin ito ay alam na mag-ingat. Ito ay lamang ng isang bagay ng oras hanggang sa masamang guys ay mahanap ito pa rin."

Hindi agad maabot Apple para sa komento.