Hvis du har en Yahoo-e-postkonto og trykker e-post fra den til Apple iPhone, kan du uvitende være i fare for sikkerheten din, Tech.co.uk har lært.

Med ikke-Yahoo-e-postkontoer bruker Apple iPhone IMAP (Internet Mail Access Protocol) til å trykke e-post, hvilke avstemninger e-post fra serveren, slik at du må vente på å se nye meldinger.

Med Yahoo Mail godkjennes Apple iPhone ved å kombinere en proprietær protokoll som heter XYMPKI, med IMAP, ifølge programvarefirmaet Isode og dets e-postsikkerhetsekspert Dave Cridland .

Yahoo gir ikke en generell IMAP-tjeneste - de bruker bare IMAP for iPhone-tilgang, og selv om iPhone støtter TLS (Transport Layer Security), Yahoo! IMAP gjør det ikke, noe som fører til et såkalt replay-angrep. Slike angrep gjør at du er sårbar som noen kan lure på domenenavnetjeneren, utgir seg for å være Yahoos e-postserver.

Tjuvlytte

Dette kan føre til at noen kan avlytte på e-postautentiseringsutvekslingen når e-postene dine blir presset til Apple iPhone, spesielt når du bruker et åpent (offentlig eller privat) Wi-Fi-hotspot. Hackeren kan da få full tilgang til din e-postkonto til du endrer passordet ditt. Isode sa på sin nettside at det "ville råde imot å bruke Yahoo-tjenesten med en iPhone på grunn av denne sikkerhetsrisikoen".

Hvis Apple og Yahoo hadde støttet TLS-standarder i dette tilfellet, ville replay-angrep ikke være mulig, skrev Cridland på sin blogg. Eller de to firmaene kunne ha utviklet "noen annen proprietær mekanisme som faktisk tilbød reell sikkerhet".

"Men de gjorde det ikke. Fordi de ikke, tilsynelatende, gir en flygende kjeft om grunnleggende sikkerhet, standarder eller faktisk noe annet enn hvordan du skal se kul. Jeg vet ikke hvorfor jeg er så sint på dette, gitt at jeg ikke eier en Apple iPhone, men det er en ytterligere nedtur fra folk som virkelig burde vite bedre, "skrev Cridland.

Som det står, bruker Apple iPhone XYMPKI proprietær programvare utviklet av Apple og Yahoo. "Hadde Apple og Yahoo valgt å bruke den eksisterende, åpen standard Lemonade protokollpakken, kunne dette ganske enkelt ikke ha skjedd," konkluderte Cridland.