image

ProtonMail publiceert security-audit van nieuwe webmail en kalender

maandag 5 juli 2021, 14:29 door Redactie, 0 reacties

E-maildienst ProtonMail heeft onlangs een nieuwe versie van de eigen webmail en kalender gelanceerd en nu ook de security-audit openbaar gemaakt die het naar de applicaties liet uitvoeren (pdf). Het ging om een blackbox en whitebox penetratiest op de domeinen account.protonmail.com, beta.protonmail.com en calendar.protonmail.com, alsmede de broncode van de applicaties die via de GitHub-repository van ProtonMail te vinden was.

De gevaarlijkste kwetsbaarheid die de onderzoekers aantroffen betrof reflected cross-site scripting. Zo had een aanvaller JavaScript kunnen toevoegen aan een afbeelding die als e-mailbijlage was toegevoegd. Wanneer de gebruiker deze afbeelding had geopend was het mogelijk geweest om "ongeautoriseerde handelingen" binnen de webmailapplicatie uit te voeren. De impact van deze kwetsbaarheid werd als "medium" beoordeeld.

Verder bleek dat de webmailapplicatie gebruikers toestond om zwakke wachtwoorden te kiezen van bijvoorbeeld alleen acht cijfers en werd er via de HTTP response headers redundante informatie over gebruikte technologieën verstrekt. Aanvallers zouden deze informatie voor verdere aanvallen kunnen gebruiken. De onderzoekers vonden geen kritieke beveiligingslekken en de aangetroffen problemen zijn verholpen.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.