Een populaire gratis e-mailclient voor de iPhone en iPad bevat een beveiligingsprobleem waardoor Javascript in e-mails met HTML-opmaak automatisch wordt uitgevoerd. Het probleem is aanwezig in de Mailbox app voor iOS en werd in mei van dit jaar al door een Duitse onderzoeker aan de ontwikkelaars gerapporteerd.
Een Italiaanse onderzoeker ontdekte dat het probleem nog steeds aanwezig was. De automatisch uitgevoerde Javascript zou kunnen worden gebruikt voor phishingaanvallen, spam en het overnemen van accounts. Ook werden externe afbeeldingen automatisch uitgevoerd. Hierdoor zou de afzender precies kunnen zien wanneer de ontvanger het bericht opende.
Nadat de blogposting van Michele Spagnulo door de media werd opgepikt kwamen de ontwikkelaars van Mailbox met een oplossing. Javascript in e-mails zou voortaan automatisch worden verwijderd voordat het bericht op de iPhone of iPad wordt afgeleverd. De oplossing blijkt echter niet naar behoren te werken, want Spagnuolo stelt dat het ingestelde filter nog steeds te omzeilen is. De ontwikkelaars zouden wederom zijn ingelicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.