Видео: What’s In Your Apple iPhone (Октября 2024)
Хотя верно, что вложения электронной почты не зашифрованы в последней версии iOS 7, серьезность изъяна не выглядит столь же разрушительной, как первоначально сообщалось.
Исследователь безопасности Андреас Курц обнаружил, что почтовые вложения, открытые в комплекте приложения Mobile Mail на устройствах iOS 7, не шифруются, хотя Apple утверждает, что файлы защищены с помощью технологии Data Protection. Затронутые версии включают iOS 7.0.4 и iOS 7.1, а также самую последнюю, iOS 7.1.1, написал Курц в своем блоге. Он проверил проблему на iPhone 4, iPad2 и iPhone 5s.
«Я заметил, что вложения электронной почты в iOS 7 MobileMail.app не защищены механизмами защиты данных Apple», - пишет Курц, исследователь из NESO Labs.
Андрей Беленко, исследователь viaForensics, подтвердил уязвимость, но отметил, что, хотя некоторые вложения не были зашифрованы, другие почтовые файлы имели некоторую форму защиты данных. В основном хранилище сообщений была включена защита данных, но другие почтовые элементы, такие как Envelope Index и Recents, не были найдены с помощью viaForensics.
«Был обнаружен недостаток, но он не повлиял глобально на все вложения электронной почты», - отметил viaForensics в своем блоге.
Недостаток, но насколько серьезный?
Тот факт, что в iOS не шифруются вложения, может поднять некоторые красные флажки для корпораций и правительств, у которых могут быть сотрудники, имеющие доступ к рабочим данным на своих мобильных устройствах. Предприятия должны отказаться от iPhone 4, чтобы воспользоваться преимуществами «более высокой безопасности, реализованной в iPhone 4 и вперед», сообщает viaForensics. Для потребителей значение проблемы сводится к тому, захочет ли вор читать вложения в электронной почте с украденного телефона.
Однако обратите внимание, что уязвимость не может быть запущена удаленно, и злоумышленник должен иметь физический доступ к устройству iOS для доступа к незашифрованным файлам. Злоумышленник также должен знать - или выяснить - код доступа устройства, чтобы преодолеть блокировку. Другой вариант - использовать технику джейлбрейка, которая работает без пароля для доступа к файловой системе. Хотя существуют инструменты для джейлбрейка iPhone 4 и более старых телефонов без пароля, в настоящее время нет джейлбрейка для более новых устройств, таких как iPhone 5s и iPad, которые могут обойти пароль.
Это много препятствий, удерживающих злоумышленников от файлов. Основы все еще применяются - используйте код доступа на своем телефоне. Нет никаких причин, по которым вы должны облегчить вор, чтобы он взял ваш телефон и получил доступ к любым вашим данным.
Исправить в пути
В то время как Курц уведомил Apple о проблеме, компания сообщила ему, что она знает о проблеме и уже работает над исправлением, которое будет поставлено как «будущее обновление программного обеспечения». Сроки не были указаны.
«Учитывая, что iOS 7 уже давно доступна и чувствительность вложений электронной почты, которую многие предприятия разделяют на своих устройствах (в основном полагаясь на защиту данных), я ожидал ближайшего исправления», - написал Курц, отметив, что проблема все еще не решена. исправлено в iOS 7.1.1, выпущенной в прошлом месяце.
«Как и Курц, мы удивлены, что это не было исправлено в 7.1.1», - согласился viaForensics, но сказал, что, скорее всего, исправление было в пути.
