ProtonMail, delle vulnerabilità minano la privacy degli account

Scoperte in Protonmail molteplici vulnerabilità nel codice che potrebbero consentire agli attaccanti di divulgare le e-mail.

ProtonMail

ProtonMail è un popolare servizio di posta elettronica noto per le sue potenti funzionalità di sicurezza che lo rendono una valida alternativa sicura e privata ad importanti provider di posta elettronica. Tuttavia, queste vulnerabilità potrebbero mettere a serio rischio la privacy e la sicurezza degli utilizzatori.

Le vulnerabilità

Le vulnerabilità scoperte dai ricercatori di sicurezza informatica di SonarSource, avrebbero potuto consentire di inserire codice dannoso nell’app Web di ProtonMail, per rubare e-mail, impersonare le vittime e persino eseguire codice arbitrario sui computer delle stesse.

I ricercatori hanno mostrato in un video il PoC della vulnerabilità.

Fonte SonarSource

Vulnerabilità corrette

A seguito della divulgazione responsabile di SonarSource, ProtonMail ha riconosciuto le vulnerabilità e ha rilasciato una correzione.

Proton Mail ha scelto di correggere il comportamento vulnerabile semplicemente rimuovendo del tutto il supporto SVG. Questo è un approccio solido se puoi permetterti di perdere la funzionalità. Non solo elimina la specifica vulnerabilità emersa a causa della ridenominazione degli elementi, ma riduce anche la superficie di attacco per il futuro“, conclude il ricercatore Paolo Gerste.

Raccomandazioni

Si consiglia pertanto:

  • Di aggiornare l’app alla versione più recente.
  • Fare attenzione alle e-mail che si ricevono e agli eventuali allegati e link.
  • Cambiare immediatamente la password, qualora si ritenga una compromissione del proprio account.

La scoperta è stata presentata al Black Hat Asia 2023.

https://www.blackhat.com/asia-23/briefings/schedule/#stealing-with-style-using-css-to-exploit-protonmail–friends-31697

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.