Om du har ett Yahoo-e-postkonto och skicka e-post från det till din Apple iPhone, kan du oavsiktligt äventyra din säkerhet, Tech.co.uk har lärt dig.

Med icke-Yahoo-e-postkonton använder Apple iPhone IMAP (Internet Mail Access Protocol) för att driva e-postmeddelanden, vilka pollar e-postmeddelanden från servern så att du måste vänta för att se nya meddelanden.

Med Yahoo Mail autentiserar Apple iPhone sig genom att kombinera ett proprietärt protokoll som heter XYMPKI, med IMAP, enligt programvaruföretaget Isode och dess e-postsäkerhetsexpert Dave Cridland .

Yahoo tillhandahåller inte en allmän IMAP-tjänst - de använder IMAP endast för iPhone-åtkomst och även om iPhone stöder TLS (Transport Layer Security), Yahoo! IMAP gör inte, vilket leder till en så kallad återspelningsattack. Sådana attacker gör dig utsatt eftersom någon skulle kunna lura domännamnsservern och låtsas vara Yahoos e-postserver.

Tjuvlyssning

Detta kan leda till att någon kan avlyssna på e-postutifieringsutbytet när dina e-postmeddelanden skjuts till din Apple iPhone, speciellt när du använder ett öppet (offentligt eller privat) Wi-Fi-hotspot. Hackaren kan sedan få full tillgång till ditt e-postkonto tills du ändrar ditt lösenord. Isode sa på sin webbplats att det "skulle råda emot att använda Yahoo-tjänsten med en iPhone på grund av denna säkerhetsrisk".

Om Apple och Yahoo hade stödt TLS-standarder i det här fallet skulle det inte vara möjligt att spela om attacker, skrev Cridland på sin blogg. Eller de två företagen kunde ha utvecklat "någon annan proprietär mekanism som faktiskt erbjöd verklig säkerhet".

"Men de gjorde inte. För att de inte tycks ge en flygande kuk om grundläggande säkerhet, standarder eller faktiskt något annat än hur man ser coolt ut. Jag vet inte varför jag är så arg på det här, givet att jag inte äger en Apple iPhone, men det är en ytterligare nedsläpp från människor som verkligen borde veta bättre, "skrev Cridland.

Som det står, använder Apple iPhone XYMPKIs proprietär programvara som utvecklats av Apple och Yahoo. "Har Apple och Yahoo valt att använda den befintliga, öppna standarden, Lemonade protokollsviten, kunde detta helt enkelt inte hända", avslutade Cridland.