Se hai un account e-mail Yahoo e invii email da questo al tuo iPhone Apple, potresti inconsapevolmente compromettere la tua sicurezza, Tech.co.uk ha imparato.

Con account e-mail non Yahoo, l'iPhone Apple utilizza IMAP (Internet Mail Access Protocol) per inviare e-mail, che esegue il polling dei messaggi di posta elettronica dal server, quindi è necessario attendere per vedere i nuovi messaggi.

Con Yahoo Mail, tuttavia, l'iPhone di Apple si autentica combinando un protocollo proprietario chiamato XYMPKI, con IMAP, secondo la ditta di software Isode e il suo esperto di sicurezza email Dave Cridland .

Yahoo non fornisce un servizio IMAP generale: utilizza IMAP solo per l'accesso all'iPhone e sebbene l'iPhone supporti TLS (Transport Layer Security), Yahoo! IMAP no, che porta a un cosiddetto attacco di replay. Tali attacchi rendono vulnerabili come qualcuno potrebbe ingannare il server dei nomi di dominio, fingendo di essere il server di posta elettronica di Yahoo.

intercettazioni

Ciò potrebbe portare chiunque sia in grado di intercettare lo scambio di autenticazione della posta elettronica quando le e-mail vengono trasferite sul tuo iPhone Apple, soprattutto quando si utilizza un hotspot Wi-Fi (pubblico o privato) aperto. L'hacker può quindi ottenere l'accesso completo al tuo account e-mail fino a quando non cambi la tua password. Isode ha dichiarato sul proprio sito Web che "si sconsiglia di utilizzare il servizio Yahoo con un iPhone, a causa di questo rischio per la sicurezza".

Se Apple e Yahoo avessero supportato gli standard TLS in questo caso, gli attacchi di replay non sarebbero stati possibili, ha scritto Cridland sul suo blog. Oppure le due aziende avrebbero potuto sviluppare "qualche altro meccanismo proprietario che offrisse effettivamente una vera sicurezza".

"Ma non è così, perché a quanto pare non danno una scopata in volo sulla sicurezza di base, sugli standard, o in realtà su qualcosa di molto diverso da come sembrare cool. Non so perché sono così arrabbiato per questo, dato che non possiedo un iPhone Apple, ma è un ulteriore delusione da parte di persone che dovrebbero davvero saperlo meglio ", ha scritto Cridland.

Allo stato attuale, l'iPhone di Apple utilizza il software proprietario XYMPKI sviluppato da Apple e Yahoo. "Se Apple e Yahoo avessero scelto di utilizzare la suite di protocolli Lemonade esistente, a standard aperto, questo semplicemente non sarebbe potuto accadere", ha concluso Cridland..