Sikkerhetsforsker avslører iPhone-designfeil

Apples iPhone har to designfeil som kan utgjøre potensielle sikkerhetsproblemer, ifølge en forsker.

Den første handler om iPhones e-postprogram, som automatisk laster ned bilder i en e-post, sier sikkerhetsforsker Aviv Raff på torsdag.

Det er problematisk fordi bildet vil referere til et server-side script når det lastes ned, og viser til avsenderen at e-posten har blitt åpnet og e-postadressen er gyldig. Adressen kan da spammes.

[Videre lesing: De beste Android-telefonene for hvert budsjett.]

E-postprogrammer er vanligvis konfigurert til å blokkere bilder fra usikre kilder for å forhindre problemet, sa Raff. Han foreslår at brukerne unngår å bruke e-postprogrammet eller være forsiktig når man klikker på koblinger i en e-post som kommer fra en usikker kilde.

Den andre designfeilen er hvordan iPhones e-postprogrammer viser nettadresser (Uniform Resource locator). Meldinger kan vises i vanlig tekst eller HTML (Hypertext Markup Language). Når i HTML-modus, kan en bruker få en e-post der teksten til lenken er forskjellig fra den faktiske lenken. Den ekte lenken kan vises ved å svinge over teksten, og et popup-vindu avslører nettadressen. Men problemet er at popup-vinduet avkorter nettadressen siden det ikke er nok plass på skjermen.

En angriper kan opprette et nettsted med et langt underdomene for å lure en bruker til å tro at det er et legitimt nettsted. Faktisk er et nettsted designet for å lure en person til å avsløre personlig informasjon, kjent som et phishing-nettsted, og Raff sa.

Etter at den dårlige koblingen er servert i Safari nettleseren, kan brukeren fortsatt bare se en brøkdel av URL-adressen. Hvis adresselinjen klikkes i mobil Safari, hopper markøren til slutten av nettadressen, så en person må rulle tilbake for å se nettadressen i sin helhet, skrev Raff på bloggen sin.

Verken Apples mobile Safari eller skrivebordet versjon av nettleseren har et phishing-filter.

Raff sa at han varslet Apple for mer enn to måneder siden om designfeilene. Raff sa at han bestemte seg for å bli offentlig med informasjonen siden Apple siden har gitt ut minst tre iPhone-oppdateringer, men har ikke adressert til Raff. De har jobbet med reparasjoner, men hadde ikke sagt da disse fikseringene skulle bli utgitt. problemer.

"Jeg tror de setter sine egne brukere på mye mer risiko ved ikke å fikse dette," sa Raff i et intervju. "I hvert fall vil brukerne som leser dette, vite at de skal være forsiktige. Det er bare et spørsmål om tid til de dårlige vil finne dette uansett."

Apple kunne ikke umiddelbart nås for kommentarer.