Badacze odkryli lukę w sposobie renderowania kodu HTML przez systemową aplikację Mail w macOS i iOS oraz w programie Mozilla Thunderbird. Pozwala ona na dostęp do niezaszyfrowanej treści wiadomości w czystym tekście.

Problem dotyczy przede wszystkim tych, którzy korzystają z usług pocztowych wykorzystujących szyfrowanie. Wspomniana luka pozwala bowiem odczytać treść wiadomości w programie pocztowym także w ich przypadku. Jeśli atakujący zdobędzie nawet zaszyfrowaną wiadomość, może odesłać ją do nadawcy w formie odpowiednio spreparowanej wiadomości HTML zawierającej znacznik obrazka. Jeśli tylko nadawca oryginalnej wiadomości (i jednocześnie odbiorca tej spreparowanej, zawierającej złośliwy kod HTML) będzie próbował ją otworzyć, to w logach serwera, do którego wskazywał znacznik obrazka pojawi się odszyfrowana treść.

Pamiętać jednak należy, że cała operacja możliwa jest tylko wtedy, kiedy atakujący będzie w posiadaniu zaszyfrowanej wiadomości.

Apple pracować ma już nad odpowiednią łatą dla obu systemów operacyjnych. Na obecną chwilę osoby korzystające z szyfrowanej poczty powinny wyłączyć możliwość otwierania zewnętrznych treści w wiadomościach (np. obrazków leżących na różnych serwerach).

Źródło: 9To5Mac