Mailbox es un servicio que, a principios de año, se hizo extremadamente popular entre los usuarios de iOS. Gracias a este servicio, el usuario podía gestionar su correo electrónico de una manera mucho más eficiente y, como nos podemos imaginar, el aluvión de interesados fue enorme (y, tan grande fue el impacto de Mailbox, que Dropbox compró la compañía al poco tiempo). Gestionar la bandeja de entrada de Gmail con Mailbox y no con el cliente oficial de Gmail (o el gestor de correo de iOS) puede mejorar nuestra productividad pero, según un experto en seguridad, el sistema tiene sus riesgos al presentar una grave vulnerabilidad.
Según ha publicado en su blog Michael Spagnuolo, un experto en seguridad de Italia; Mailbox para iOS 7 presenta una vulnerabilidad que permitiría ejecutar código Javascript que se encuentre insertado dentro de un correo electrónico escrito en HTML. Dicho de otra forma, si un usuario recibe un correo electrónico escrito en HTML (el típico mensaje con boletines informativos o publicidad), Mailbox no detendría la ejecución de código Javascript oculto en este HTML y, evidentemente, puede ser una vía de riesgo para la privacidad del usuario.
¿Y qué supone este problema? Como podemos ver en el vídeo que ha publicado Spagnuolo, esta vulnerabilidad permitiría a un tercero, por ejemplo, enviar correos electrónicos que arranquen aplicaciones en el terminal (reproductor de música, la aplicación de Facebook, etc) y aunque nos pueda parecer algo simple o sin importancia, son casos de uso "prácticos" que explotan este problema aunque, eso sí, alguien con no muy buenas intenciones podría hacer algo mucho peor.
Se desconoce qué versiones de Mailbox están afectadas por esta vulnerabilidad y tampoco se sabe si Mailbox está trabajando en su solución pero, evidentemente, no es descabellado pensar que no tardemos mucho en ver una actualización de la aplicación por la App Store de Apple.