اجرای خودکار جاوااسکریپت در برنامهی Mailbox در iOS
رنامهی محبوب Mailbox در iOS دچار یک مشکل امنیتی است. این برنامه هر کد جاوااسکریپتی را که در یک رایانهی HTML قرار دارد، به طور خودکار اجرا میکند.
موسسه خبری سایبربان:برنامهی محبوب Mailbox در iOS دچار یک مشکل امنیتی است. یک پژوهشگر امنیتی اهل ایتالیا اخیراً دریافته که این برنامه هر کد جاوااسکریپتی را که در یک رایانهی HTML قرار دارد، به طور خودکار اجرا میکند.
میشل اسپانیولو، دانشجوی مهندسی رایانه، کسی که ۴ جایزهی امنیتی گوگل را به دست آورده، گفت :«این خطا به سبب طراحی بد رخ داده است. برنامهی Mailbox به طور پیشفرض تصاویر موجود در رایانامهها را بار میکند که این اقدام مغایر با امنیت و حریم خصوصی است؛ چرا که دریافتکننده میتواند زمان دقیق باز شدن رایانامه و اطلاعات دیگری را در مورد کاربر دریابد. اجرای جاوااسکریپت از این اتفاق نیز مهمتر و خطرناکتر است.»
به این ترتیب کاربران با گشودن یک رایانامهی HTML حاوی جاوااسکریپت در معرض خطر حملات فیشینگ، هرزنامه و ربودن حساب کاربری قرار میگیرند.
به گفتهی اسپانیولو وجود جاوااسکریپت در رایانامهها ایدهی ناامنی است؛ از این رو توسط برنامههای بزرگ مدیریت رایانامه به طور پیشفرض در نظر گرفته نمیشود.
این دانشجو در ویدئویی در وبگاه خود نشان داد که این آسیبپذیری چگونه قابل سوءاستفاده است. یک ارسالکنندهی هرزنامه میتواند جزییاتی را در مورد دستگاهی که پیام مربوطه را مشاهده کرده، دریابد و تبلیغات مخربی را به نمایش بگذارد. به این ترتیب فرد خرابکاری که از یک چارچوب بهرهبرداری از مرورگر استفاده میکند، قادر است حملات فیشینگی را ترتیب دهد و یا شخص قربانی را به یک بات تبدیل سازد.
Mailbox برنامهی مدیریت رایانامهی رایگانی در دستگاههای تلفنهمراه شرکت اپل است که اخیراً شرکت سازندهی آن یعنی Orchestra به تصاحب Dropbox درآمده است.
