image

ProtonMail publiceert security-audit van nieuwe webmail en kalender

maandag 5 juli 2021, 14:29 door Redactie, 0 reacties

E-maildienst ProtonMail heeft onlangs een nieuwe versie van de eigen webmail en kalender gelanceerd en nu ook de security-audit openbaar gemaakt die het naar de applicaties liet uitvoeren (pdf). Het ging om een blackbox en whitebox penetratiest op de domeinen account.protonmail.com, beta.protonmail.com en calendar.protonmail.com, alsmede de broncode van de applicaties die via de GitHub-repository van ProtonMail te vinden was.

De gevaarlijkste kwetsbaarheid die de onderzoekers aantroffen betrof reflected cross-site scripting. Zo had een aanvaller JavaScript kunnen toevoegen aan een afbeelding die als e-mailbijlage was toegevoegd. Wanneer de gebruiker deze afbeelding had geopend was het mogelijk geweest om "ongeautoriseerde handelingen" binnen de webmailapplicatie uit te voeren. De impact van deze kwetsbaarheid werd als "medium" beoordeeld.

Verder bleek dat de webmailapplicatie gebruikers toestond om zwakke wachtwoorden te kiezen van bijvoorbeeld alleen acht cijfers en werd er via de HTTP response headers redundante informatie over gebruikte technologieën verstrekt. Aanvallers zouden deze informatie voor verdere aanvallen kunnen gebruiken. De onderzoekers vonden geen kritieke beveiligingslekken en de aangetroffen problemen zijn verholpen.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.