Появились сообщения о двух уязвимостях почтовой программы телефона – iPhone Mail. Их автор — Авив Раф (Aviv Raff), специалист по компьютерной безопасности.
Первая уязвимость наблюдается при загрузке изображений, вложенных в почтовые сообщения. На обычных операционных системах в любом браузере можно отключить показ изображений, но в iPhone это сделать нельзя – картинка загрузится в любом случае и сервер получит сигнал о загрузке изображения пользователем. В результате, спамер узнает что вы открыли и прочитали письмо – и, следовательно, что ваш почтовый адрес активен. Потом можете не удивляться, что в Вашем ящике стало больше спама, чем раньше.
Вторая уязвимость связана со ссылками. Приложение iPhone Mail может открывать ссылки как в текстовых, так и в HTML-письмах. Если вы открываете ссылку в HTML-письме, но реальный адрес (URL) может отличаться от того, который записан в тексте. Чтобы узнать реальный адрес, на который ведет ссылка, нужно сделать на ней долгое нажатие, и тогда она будет показана. И вот здесь-то и скрывается трюк: если ссылка очень длинная и не влезает в экран, она будет обрезана посередине (см. пример ниже). Спамер может создать длинный субдомен (скажем, в 24 символа), который будет начинаться и заканчиваться неким благовидным образом, а в середине может быть то, что пользователь просто никогда не увидит: В результате мы имеем, что получатель письма переходит по ссылке, будучи полностью уверен в ее благонадежности, особенно если полученное письмо не вызывает у него подозрения.
