Видео: ЛЕГЕНДАРНАЯ iOS 6 (Ноември 2024)
Въпреки че е вярно, че прикачените файлове за имейл не са кодирани в последната версия на iOS 7, тежестта на недостатъка не изглежда толкова вредна, колкото е докладвано първоначално.
Изследователят по сигурността Андреас Курц откри, че прикачените файлове за поща, отворени в пакетното приложение за мобилна поща на устройства с iOS 7, не са кодирани, въпреки че Apple твърди, че файловете са защитени с помощта на технологията му за защита на данните. Засегнатите версии включват iOS 7.0.4 и iOS 7.1, както и най-актуалният, iOS 7.1.1, написа Курц в своя блог. Той провери проблема на iPhone 4, iPad2 и iPhone 5s.
„Забелязах, че прикачените имейли в iOS 7 MobileMail.app не са защитени от механизмите за защита на данните на Apple“, пише Курц, изследовател от NESO Labs.
Андрей Беленко, изследовател от viaForensics потвърди уязвимостта, но отбеляза, че макар някои прикачени файлове да не са криптирани, други пощенски файлове имат някаква форма на защита на данните. В основния магазин за съобщения беше активирана защита на данните, но други елементи на поща, като индекс на пликове и получатели, не намериха чрез viaForensics.
„Проблемът беше наблюдаван, но не засяга глобално всички прикачени файлове към електронната поща“, отбелязва viaForensics в публикация в блога.
Грешка, но колко тежка?
Фактът, че прикачените файлове не са кодирани в iOS, може да повдигне някои червени знамена за корпорациите и правителствата, които могат да имат служители, които имат достъп до данни, свързани с работата на своите мобилни устройства. Предприятията трябва да се отдалечават от iPhone 4, за да се възползват от „по-високата сигурност, внедрена в iPhone 4s и напред“, заяви viaForensics. За потребителите значимостта на проблема се свежда до това дали крадец би искал да прочете прикачени файлове от имейл от откраднат телефон.
Имайте предвид обаче, че уязвимостта не може да бъде задействана дистанционно и нападателят трябва да има физически достъп до iOS устройството, за да има достъп до незашифрованите файлове. Нападателят също трябва вече да знае - или да разбере - паролата на устройството, за да премине през ключалката. Другият вариант е да се използва техника на джайлбрейк, която работи без парола, за да достигне до файловата система. Въпреки че има инструменти за джейлбрейк iPhone 4 и по-стари телефони без парола, в момента няма никакви джейлбрейки за по-нови устройства като iPhone 5s и iPad, които да заобиколят парола.
Това е много препятствия, които държат нападателите далеч от файловете. Основните все още важат - използвайте парола на телефона си. Няма причина защо трябва да улесните крадеца да вземе телефона си и да получи достъп до някоя от вашите данни.
Поправете по пътя
Докато Курц уведомява Apple за изданието, компанията му каза, че е запознат с проблема и вече работи по поправка, която ще бъде предоставена като „бъдеща актуализация на софтуера“. Не беше дадена времева линия.
"Като се има предвид дълго време iOS 7 е наличен досега и чувствителността на прикачените файлове за електронна поща, които много предприятия споделят на своите устройства (в основата си залагайки на защитата на данните), очаквах скорошна корекция", написа Курц, отбелязвайки, че проблемът все още не фиксиран в iOS 7.1.1, пуснат миналия месец.
„Подобно на Kurtz, ние сме изненадани, че не беше закрепен в 7.1.1“, съгласи се viaForensics, но заяви, че вероятно е поправен път.