Video: Как откатиться до iOS 10.3.3 с iOS 12 на iPhone 5s, iPad Air, iPad Mini 2,3 [Mac] (Listopad 2024)
I když je pravda, že e-mailové přílohy nejsou šifrovány v nejnovější verzi systému iOS 7, závažnost chyby se nezdá být tak škodlivá, jak byla původně nahlášena.
Výzkumník bezpečnosti Andreas Kurtz zjistil, že přílohy pošty otevřené v dodávané aplikaci Mobile Mail na zařízeních iOS 7 nejsou šifrována, přestože společnost Apple tvrdí, že soubory jsou zabezpečeny pomocí technologie Data Protection. Postižené verze zahrnují iOS 7.0.4 a iOS 7.1 a také nejnovější verzi iOS 7.1.1, kterou Kurtz napsal na svém blogu. Ověřil problém na zařízeních iPhone 4, iPad2 a iPhone 5s.
„Všiml jsem si, že přílohy e-mailů v systému iOS 7 MobileMail.app nejsou chráněny mechanismy ochrany dat společnosti Apple, “ napsal Kurtz, výzkumník společnosti NESO Labs.
Tuto chybu zranitelnost potvrdil Andrey Belenko, výzkumník společnosti viaForensics, ale poznamenal, že zatímco některé přílohy nebyly šifrovány, jiné poštovní soubory měly určitou formu ochrany dat. V hlavním úložišti Zprávy byla povolena ochrana dat, ale další prvky pošty, jako je Envelope Index a Recents, nebyly nalezeny pomocí viaForensics.
„Tato chyba byla pozorována, ale globálně neovlivnila všechny přílohy e-mailů, “ uvedla viaForensics v blogu.
Flaw, ale jak těžké?
Skutečnost, že přílohy nejsou šifrovány v systému iOS, může zvýšit korporace a vlády, které mohou mít zaměstnance přístup k pracovním datům na svých mobilních zařízeních, některé červené vlajky. Podniky by se měly přesouvat z iPhone 4, aby využily výhod „vyšší bezpečnosti implementované v iPhone 4 a vpřed, “ řekl viaForensics. Pro spotřebitele se význam problému snižuje tím, zda by zloděj chtěl číst přílohy e-mailů z ukradeného telefonu.
Upozorňujeme však, že tuto chybu zabezpečení nelze spustit vzdáleně a útočník musí mít fyzický přístup k zařízení iOS, aby mohl přistupovat k nešifrovaným souborům. Útočník také musí znát - nebo zjistit - přístupový kód zařízení, aby se dostal přes zámek. Druhou možností je použít techniku útěku z vězení, která funguje bez přístupového kódu, aby bylo dosaženo systému souborů. I když existují nástroje pro útěk z vězení iPhone 4 a starší telefony bez přístupového kódu, v současné době neexistují žádné útěky z vězení pro novější zařízení, jako jsou iPhone 5 a iPad, které mohou obejít přístupový kód.
To je spousta zátarasů, které udržují útočníky mimo soubory. Základy stále platí - použijte v telefonu přístupový kód. Neexistuje žádný důvod, proč byste měli zloději snadno vyzvednout telefon a získat přístup ke všem vašim údajům.
Fix na cestě
Zatímco Kurtz informoval Apple o problému, společnost mu řekla, že si je tohoto problému vědoma a již pracuje na opravě, která bude doručena jako „budoucí aktualizace softwaru“. Nebyla zadána žádná časová osa.
"Vzhledem k tomu, že iOS 7 je již dlouho k dispozici a citlivost e-mailových příloh, které mnoho podniků sdílí na svých zařízeních (v zásadě se spoléhají na ochranu dat), očekávala jsem krátkodobou opravu, " napsal Kurtz a poznamenal, že problém stále nebyl opraveno v iOS 7.1.1, vydané minulý měsíc.
„Stejně jako Kurtz jsme překvapeni, že to nebylo opraveno v 7.1.1, “ souhlasil viaForensics, ale řekl, že to bylo pravděpodobně na cestě.
