A situação dos clientes de email para macOS já não está lá grande coisa, e os poucos e bons que restam são as únicas opções para que não tenhamos que recorrer à experiência arcaica de acessar nossas contas pelo navegador. Até por isso, sempre que surge a notícia de alguma vulnerabilidade em um desses clientes remanescentes, é importante espalhar a palavra rapidamente — tanto para que todos fiquem sabendo quanto para que a correção saia o mais rápido possível.
Hoje, o blog da empresa de segurança VerSprite publicou uma descoberta envolvendo o popular cliente Airmail que pode potencialmente expor os emails de um usuário desavisado a hackers. Não se trata de uma vulnerabilidade específica e sim de algumas brechas e/ou códigos escritos de forma equivocada que, quando combinados, podem ser explorados por agentes maliciosos em uma possível exposição total das suas Caixas de Entrada, mensagens e até anexos.
A explicação mais técnica pode ser lida no artigo da VerSprite, mas basicamente a raiz do problema está no modo como o Airmail lida com requisições de URL (ou seja, os processos solicitados ao sistema quando se clica em link qualquer). Alguns links maliciosos podem ativar silenciosamente um comando para que o cliente mande emails a um endereço secreto pré-programado, anexando a essa mensagem o conteúdo de qualquer (ou até todas) email que você tenha numa Caixa de Entrada.
Outras possibilidades trazidas por essa vulnerabilidade incluem cenários em que o Airmail coleta anexos de emails na sua Caixa de Entrada e os repassa para os invasores ou captura documentos específicos na base de dados dos usuários — aparentemente, parte do problema está no fato de que o cliente armazena esses dados num diretório aberto e facilmente localizável, sempre num endereço digital específico, o que torna o trabalho dos hackers bem mais simples.
Os pesquisadores detectaram ainda falhas que permitiram aos invasores desabilitar filtros HTML (desta forma, instalando silenciosamente plugins ainda que eles sejam identificados como maliciosos) ou até mesmo uma forma de atacar o usuário sem que ele precise clicar em link algum, apenas abrindo um email infectado — essa última forma de ataque, entretanto, só funcionou em metade dos testes, afirmou o relatório.
É bom notar que as vulnerabilidades referem-se somente à versão do Airmail para macOS, mas a versão para iOS não foi testada — ou seja, não é possível dizer se ela está segura ou não.
De acordo com a equipe por trás do desenvolvimento do Airmail, correções já estão a caminho e poderão chegar ainda hoje; de qualquer forma, eles dizem que os problemas são “hipotéticos” e nenhum usuário afetado. Ainda assim, Fabius Watson, da VerSprite, afirmou que “não continuaria utilizando o Airmail até que os problemas sejam resolvidos”.
Ou seja: atualize o seu cliente assim que o aguardado update for liberado e, como de costume, tome cuidado com emails que pareçam estranhos ou de remetentes desconhecidos. Não vamos deixar as coisas fáceis para agentes mal-intencionados, afinal.
Requer o macOS 12.0 ou superior
via Cult of Mac