Video: WWDC 2020 Special Event Keynote — Apple (Oktober 2024)
Selv om det er sant at e-postvedlegg ikke er kryptert i den nyeste versjonen av iOS 7, ser ikke alvorlighetsgraden av feilen ut til å være så skadelig som opprinnelig rapportert.
Sikkerhetsforsker Andreas Kurtz oppdaget at postvedlegg som ble åpnet i den medfølgende Mobile Mail-appen på iOS 7-enheter, ikke er kryptert, selv om Apple hevder filene er sikret ved bruk av sin databeskyttelsesteknologi. Berørte versjoner inkluderer iOS 7.0.4 og iOS 7.1, samt den nyeste, iOS 7.1.1, skrev Kurtz på bloggen sin. Han bekreftet problemet på en iPhone 4, iPad2 og iPhone 5s.
"Jeg la merke til at e-postvedlegg i iOS 7 MobileMail.app ikke er beskyttet av Apples databeskyttelsesmekanismer, " skrev Kurtz, en forsker med NESO Labs.
Andrey Belenko, forsker ved viaForensics bekreftet sårbarheten, men bemerket at selv om noen vedlegg ikke var kryptert, hadde andre postfiler en form for databeskyttelse. Hovedmeldingsbutikken hadde Databeskyttelse aktivert, men andre e-postelementer, for eksempel Konvoluttindeks og Meldinger, gjorde det ikke viaForensics funnet.
"Feilen ble observert, men påvirket ikke globalt alle e-postvedlegg, " bemerket viaForensics i et blogginnlegg.
En feil, men hvor alvorlig?
Det faktum at vedlegg ikke er kryptert på iOS, kan føre til at de røde flaggene for selskaper og myndigheter kan ha ansatte som får tilgang til arbeidsrelaterte data på sine mobile enheter. Bedrifter bør flytte av iPhone 4 for å dra nytte av "den høyere sikkerheten implementert i iPhone 4s og fremover, " sa viaForensics. For forbrukere koker betydningen av problemet ned til om en tyv ønsker å lese e-postvedlegg fra en stjålet telefon.
Merk imidlertid at sårbarheten ikke kunne utløses eksternt, og angriperen må ha fysisk tilgang til iOS-enheten for å få tilgang til de ukrypterte filene. Angriperen må også vite - eller finne ut - enhetens passord for å komme forbi låsen. Det andre alternativet er å bruke en jailbreak-teknikk som fungerer uten passord for å nå filsystemet. Selv om det er verktøy for å jailbreak iPhone 4 og eldre håndsett uten passord, er det foreløpig ikke noen fengselsbrytelser for nyere enheter som iPhone 5s og iPad som kan omgå passordet.
Det er mange veisperringer som holder angripere borte fra filene. Det grunnleggende gjelder fortsatt - bruk en passord på telefonen. Det er ingen grunn til at du skal gjøre det enkelt for en tyv å hente telefonen og få tilgang til noen av dataene dine.
Fix on the Way
Mens Kurtz varslet Apple om problemet, fortalte selskapet at han var klar over problemet og allerede jobbet med en løsning, som ville bli levert som en "fremtidig programvareoppdatering." Ingen tidslinje ble gitt.
"Tatt i betraktning hvor lang tid iOS 7 er tilgjengelig nå, og følsomheten for e-postvedlegg som mange bedrifter deler på enhetene sine (grunnleggende avhengig av databeskyttelse), forventet jeg en oppdatering på kort sikt, " skrev Kurtz og la merke til at problemet fremdeles ikke var fikset i iOS 7.1.1, utgitt i forrige måned.
"I likhet med Kurtz er vi overrasket over at den ikke ble oppdatert i 7.1.1, " viaForensics var enig, men sa at det sannsynligvis var en løsning som var på vei.
