Video: iPhone Fold Features & Pricing + Portless iPhone 13 Rumors! (Oktober 2024)
Selvom det er sandt, at e-mail-vedhæftede filer ikke er krypteret i den nyeste version af iOS 7, ser alvorligheden af fejlen ikke ud til at være så ødelæggende som oprindeligt rapporteret.
Sikkerhedsforsker Andreas Kurtz opdagede, at e-mail-vedhæftede filer, der blev åbnet i den medfølgende Mobile Mail-app på iOS 7-enheder, ikke er krypteret, selvom Apple hævder, at filerne er sikret ved hjælp af dens databeskyttelsesteknologi. Berørte versioner inkluderer iOS 7.0.4 og iOS 7.1 såvel som den nyeste, iOS 7.1.1, skrev Kurtz på sin blog. Han bekræftede problemet på en iPhone 4, iPad2 og iPhone 5s.
"Jeg har bemærket, at e-mail-vedhæftede filer i iOS 7 MobileMail.app ikke er beskyttet af Apples databeskyttelsesmekanismer, " skrev Kurtz, en forsker med NESO Labs.
Andrey Belenko, en forsker hos viaForensics bekræftede sårbarheden, men bemærkede, at selvom nogle vedhæftede filer ikke var krypteret, havde andre postfiler en form for databeskyttelse. Hovedmeddelelseslageret havde Databeskyttelse aktiveret, men andre mailelementer, som f.eks. Konvoluttindeks og nyheder, gjorde det ikke viaForensics fundet.
"Fejlen blev observeret, men påvirkede ikke globalt alle e-mail-vedhæftede filer, " bemærkede viaForensics i et blogindlæg.
En fejl, men hvor alvorlig?
Det faktum, at vedhæftede filer ikke er krypteret på iOS, kan rejse nogle røde flag for virksomheder og regeringer, der muligvis har ansatte, der får adgang til arbejdsrelaterede data på deres mobile enheder. Virksomheder skal flytte fra iPhone 4 for at drage fordel af "den højere sikkerhed, der er implementeret i iPhone 4'erne og fremad", siger viaForensics. For forbrugere afhænger betydningen af problemet ud på, om en tyv ønsker at læse vedhæftede e-mails fra en stjålet telefon.
Bemærk dog, at sårbarheden ikke kunne udløses eksternt, og angriberen skal have fysisk adgang til iOS-enheden for at få adgang til de ikke-krypterede filer. Angriberen skal også allerede kende - eller regne ud - enhedens adgangskode for at komme forbi låsen. Den anden mulighed er at bruge en jailbreak-teknik, der fungerer uden adgangskoden for at nå filsystemet. Mens der er værktøjer til at jailbreak iPhone 4 og ældre håndsæt uden en adgangskode, er der i øjeblikket ingen fængsler for nyere enheder som iPhone 5s og iPad, der kan omgå adgangskoden.
Det er en masse vejspærre, der holder angribere væk fra filerne. Det grundlæggende gælder stadig - brug en adgangskode på din telefon. Der er ingen grund til, at du skal gøre det let for en tyv at hente din telefon og få adgang til nogen af dine data.
Fix on the Way
Mens Kurtz underrettede Apple om problemet, fortalte virksomheden, at han var opmærksom på problemet og allerede arbejdede på en løsning, der ville blive leveret som en "fremtidig softwareopdatering." Der blev ikke givet nogen tidslinje.
"I betragtning af, hvor lang tid iOS 7 er tilgængelig nu, og følsomheden af e-mail-vedhæftede filer, som mange virksomheder deler på deres enheder (grundlæggende afhængig af databeskyttelse), forventede jeg en kortvarig programrettelse, " skrev Kurtz og bemærkede, at problemet stadig ikke var fast i iOS 7.1.1, der blev frigivet i sidste måned.
"Ligesom Kurtz er vi overraskede over, at det ikke blev lappet i 7.1.1, " viaForensics var enig, men sagde, at det sandsynligvis var en løsning, der var på vej.
