Se hai recentemente inviato o ricevuto collegamenti tramite iMessage, probabilmente avrai notato che sono presentati in modo più attraente rispetto a prima, fornendo un link cliccabile, un'immagine e un testo estratti dall'URL.

Questo è qualcosa che fanno anche altri servizi come Facebook e Slack, ma secondo Ross McKillop (uno sviluppatore), iMessage gestisce questo in un modo piuttosto diverso e molto meno sicuro.

Ad esempio, quando si utilizza Facebook, il sito Web a cui si sta collegando vedrà una richiesta da Facebook, ma quando si utilizza iMessage il sito Web riceverà la richiesta direttamente dal dispositivo, rivelando l'indirizzo IP, il tipo di dispositivo e il sistema operativo.

Sicurezza lenta

Potrebbe non sembrare così male, ma, come fa notare McKillop, la richiesta verrà inviata da ogni dispositivo su cui è in esecuzione IMessage, consentendo al sito Web di farsi un'idea della propria posizione. Ad esempio, se il tuo iPhone e Mac rispondono da diversi indirizzi IP probabilmente sei fuori.

Ancora più preoccupante è che McKillop crede che con gli URL inviati in questo modo, gli exploit trovati in Safari potrebbero potenzialmente essere innescati semplicemente inviando a qualcuno un iMessage con l'URL interessato, senza alcun obbligo per il destinatario di fare effettivamente clic sul link.

Non c'è modo di disabilitare questo, quindi se McKillop ha ragione è compito di Apple risolvere il problema, speriamo che prima qualcuno trovi un modo per sfruttare appieno il problema.

Abbiamo contattato Apple per chiedere se è a conoscenza di questa potenziale vulnerabilità e se una correzione è in corso. Aggiorneremo questo articolo una volta ottenuta una risposta.

  • Google ha una risposta a iMessage

Tramite il registro