Videó: НАЗВАНЫ АЙФОНЫ КОТОРЫЕ ПОЛУЧАТ IOS 15 В 2021 ГОДУ! (November 2024)
Noha igaz, hogy az e-mail melléklet nem titkosítva az iOS 7 legújabb verzióján, a hiba súlyossága nem tűnik olyan súlyosnak, mint az eredetileg beszámoltak.
Andreas Kurtz biztonsági kutató felfedezte, hogy az iOS 7 készülékeken található csomaghoz mellékelt Mobil Mail alkalmazásban megnyitott e-mail mellékletek nem vannak titkosítva, bár az Apple szerint a fájlok adatvédelmi technológiájával vannak biztonságban. Az érintett verziók közé tartozik az iOS 7.0.4 és az iOS 7.1, valamint a legfrissebb, az iOS 7.1.1, Kurtz írta a blogjában. Ellenőrizte a problémát iPhone 4, iPad2 és iPhone 5s készülékeken.
"Észrevettem, hogy az iOS 7 MobileMail.app e-mail mellékleteit az Apple adatvédelmi mechanizmusai nem védik" - írta Kurtz, a NESO Labs kutatója.
Andrey Belenko, a viaForensics kutatója megerősítette a sebezhetőséget, de megjegyezte, hogy míg egyes mellékletek nem voltak titkosítva, a többi levélfájl valamilyen adatvédelmet tartalmaz. A fő Üzenetek áruházban engedélyezve volt az adatvédelem, de más levelelemek, például a boríték indexe és a Recents nem, a viaForensics megtalálta.
"A hibát megfigyelték, de az egész e-mail mellékletét globálisan nem befolyásolta" - jegyezte meg a viaForensics egy blogbejegyzésben.
Hibás, de milyen súlyos?
Az a tény, hogy a mellékleteket nem titkosították az iOS rendszeren, felvehet néhány vörös zászlót azoknak a vállalatoknak és kormányoknak, amelyeknél az alkalmazottak munkahelyi adatokhoz férhetnek hozzá mobil eszközükön. A vállalkozásoknak el kellene mozdulniuk az iPhone 4-ről, hogy kihasználhassák az "iPhone 4-ekbe beépített magasabb szintű biztonságot, és továbbhaladjanak" - mondta a viaForensics. A fogyasztók számára a kérdés jelentősége annak függvénye, hogy vajon a tolvaj el akarja-e olvasni az ellopott telefon e-mail mellékleteit.
Vegye figyelembe azonban, hogy a biztonsági rést nem lehetett távolról indítani, és a támadónak fizikai hozzáféréssel kell rendelkeznie az iOS-eszközhöz a titkosítatlan fájlok eléréséhez. A támadónak már tudnia kell - vagy kitalálnia - az eszköz jelszavát, hogy átjuthasson a záron. A másik lehetőség egy olyan jailbreak technika használata, amely a hozzáférési kód nélkül működik a fájlrendszer elérése érdekében. Noha vannak olyan eszközök, amelyek az iPhone 4 és az régebbi kézibeszélők feltöréséhez hozzáférési kód nélkül működnek, jelenleg nem létezik olyan jailbreakes az újabb készülékek számára, mint például az iPhone 5s és iPad, amelyek megkerülhetik a jelszót.
Ez sok akadály, amely a támadókat távol tartja a fájloktól. Az alapok továbbra is érvényesek - használjon telefonszámot. Nincs ok, amiért meg kellene könnyítenie a tolvaj számára a telefon felvételét és az adatokhoz való hozzáférést.
Javítsd az úton
Míg Kurtz értesítette az Apple-t a problémáról, a cég azt mondta neki, hogy tisztában van a problémával, és már dolgozik egy javításon, amelyet „jövőbeli szoftverfrissítésként” szállítanak. Nem adtak idővonalat.
"Tekintettel arra, hogy az iOS 7 már hosszú ideje elérhető, és az e-mail mellékletek érzékenysége sok vállalkozás megosztja eszközét (alapvetően az adatvédelemre támaszkodva), egy rövid távú javítást vártam" - írta Kurtz, megjegyezve, hogy a kérdés még mindig nem volt javítva a múlt hónapban kiadott iOS 7.1.1-ben.
"Kurtzhoz hasonlóan meglepve vagyunk, hogy a 7.1.1-ben nem volt javítva" - érte el a viaForensics, de azt állította, hogy valószínűleg javítás történt.
