Відео: Apple iPhone mini Unboxing + Gameplay (Листопад 2024)
Незважаючи на те, що вкладення електронної пошти не зашифровані в останній версії iOS 7, серйозність недоліків не є такою згубною, як повідомлялося спочатку.
Дослідник безпеки Андреас Курц виявив, що вкладення пошти, відкриті в комплекті програми Mobile Mail на пристроях iOS 7, не шифруються, хоча Apple заявляє, що файли захищені за допомогою технології захисту даних. Уражені версії включають iOS 7.0.4 та iOS 7.1, а також найсучасніші, iOS 7.1.1, написав Курц у своєму блозі. Він перевірив проблему на iPhone 4, iPad2 та iPhone 5s.
"Я помітив, що вкладення електронної пошти в iOS 7 MobileMail.app не захищені механізмами захисту даних Apple", - написав Курц, дослідник NESO Labs.
Андрій Беленко, науковий співробітник viaForensics, підтвердив вразливість, але зазначив, що хоча деякі вкладення не були зашифровані, інші файли пошти мали певну форму захисту даних. У головному магазині повідомлень було ввімкнено захист даних, але інші поштові елементи, такі як індекс конвертів та отримувачі, не знайшли viaForensics.
"Недолік спостерігався, але глобально не впливав на всі вкладення електронної пошти", - зазначається viaForensics у публікації в блозі.
Недолік, але наскільки серйозний?
Той факт, що вкладення не зашифровані на iOS, може підняти червоні прапори для корпорацій та урядів, які можуть мати працівників, які мають доступ до даних, пов’язаних з роботою, на своїх мобільних пристроях. Підприємства повинні вийти з iPhone 4, щоб скористатися "вищою безпекою, реалізованою в iPhone 4s і вперед", - зазначив viaForensics. Для споживачів важливість проблеми зводиться до того, хотів би злодій прочитати вкладення електронної пошти з викраденого телефону.
Однак зауважте, що вразливість не може бути віддалена дистанційно, і зловмисник повинен мати фізичний доступ до пристрою iOS, щоб отримати доступ до незашифрованих файлів. Зловмисник також повинен вже знати (або з'ясувати) пропускний код пристрою, щоб пройти повз блокування. Інший варіант - використовувати техніку джейлбрейка, яка працює без пароля для того, щоб дійти до файлової системи. Хоча існують інструменти для джейлбрейка iPhone 4 та старих телефонів без парольного коду, наразі не існує жодних джейлбрейків для новіших пристроїв, таких як iPhone 5s та iPad, які можуть обійти пароль.
Це дуже багато блокувань, які захисники тримають подалі від файлів. Основні принципи як і раніше - використовуйте пароль на телефоні. Немає причини, щоб вам було спростити злодію забрати телефон і отримати доступ до будь-якої вашої інформації.
Виправити на шляху
Поки Курц повідомляв Apple про цю проблему, компанія сказала йому, що знає про проблему і вже працює над виправленням, яке буде поставлено як "майбутнє оновлення програмного забезпечення". Час не було вказано.
"Враховуючи давній час iOS 7 доступний на сьогоднішній день, і чутливість вкладень електронної пошти, якими користуються багато підприємств на своїх пристроях (в основному покладаючись на захист даних), я очікував короткочасного виправлення", - написав Курц, зазначивши, що проблеми все ще не було. виправлено в iOS 7.1.1, випущений минулого місяця.
"Як і Курц, ми здивовані, що він не був зафіксований у 7.1.1", - погодився viaForensics, але заявив, що, швидше за все, виправлено шлях.