BugTraq, la celebre mailing list dedicata ai bug sulla security, ha pubblicato una breve descrizione di uno che affligge l’iDisk di Apple e l’applicazione Mail.
Sebbene la password per l’iDisk sia inviata ai server attraverso il protocollo sicuro HTTPS/WebDAV, tuttavia se se configura OS X con la password per iDisk, la stessa parola d’ordine viene copiata nella configurazione di Mail (il quale potrebbe essere stato non ancora configurato). In tale condizione, clickando su un link con “mailto” si forza Mail a collegarsi ai server di Mac.com verso il quale non è previsto alcun sistema di trasferimento criptato di trasmissione della password.
La conclusione è che la password dell’iDisk viene mandata sulla rete in chiaro, senza che ci se ne renda conto, per quanto sia una password per l’email.
Le questioni, sicuramente di una certa gravità , consistevano, quindi, nella password per l’email di “mac.com”, sempre identica a quella per l’iDisk (quindi, una volta scoperta la si può usare per entrambi i servizi), in secondo luogo, questo automatismo di OS X registra la password senza che se ne abbia coscienza.
Come problema aggiuntivo, sembra che il sistema di log-in del servizio Webmail di “.Mac” potesse essere ridicolmente scavalcato semplicemente ricopiando l’ URL associata ad ogni messaggio e-mail generato dall’interprete di WebObjects.
Indirizzi simili al seguente, per intenderci:
http://webmail.mac.com/WebObjects/Webmail.woa/1/wo/ifZgm6PRpZzaNQVaB5gk00/0.0.9.3.121.0.11
se portati in un altro browser, o in un altro computer, hanno come effetto assolutamente indesiderato quello di far apparire il messaggio email cui il link si riferisce, senza alcuno sforzo.
La causa è da ricercarsi nel modo in cui WebObjects lavora: le informazioni relative alla sessione in corso sono registrate nell’URL, in tal modo la semplice ricopiatura dell’indirizzo causava l’ effetto collaterale di cui sopra.
E’ necessario, però, precisare che tali URL non sono validi in eterno, infatti, dopo un determinato periodo di tempo prefissato, o all’atto del logout, le informazioni sulla sessione in corso variano e quello stesso URL non funzionerà più.
Creare dell’allarmismo ingiustificato ci sembra eccessivo.
Sicuramente è più semplice andare a leggere informazioni riservate nelle decine di cookies che quotidianamente riceviamo e ci scambiamo con i siti sui quali navighiamo.
Inoltre sembra che Apple abbia rapidamente risolto la cosa provocando un redirect alla home page dei servizi “.Mac” non appena intercetti le condizioni per una probabile invasione nella casella email di un altro utente.
In conclusione ci rimane il dubbio, e dell’amaro in bocca, per la scelta di trasformare “.Mac” in un servizio a pagamento, ancora senza le garanzie di un corretto e sicuro funzionamento.
