Casa Securitywatch Apple non sta crittografando la posta su iOS 7 è male, ma non è un disastro

Apple non sta crittografando la posta su iOS 7 è male, ma non è un disastro

Video: How to restart your iPhone if it’s frozen on the Apple logo — Apple Support (Novembre 2024)

Video: How to restart your iPhone if it’s frozen on the Apple logo — Apple Support (Novembre 2024)
Anonim

Mentre è vero che gli allegati di posta elettronica non sono crittografati sull'ultima versione di iOS 7, la gravità del difetto non sembra essere così dannosa come riportato in origine.

Il ricercatore di sicurezza Andreas Kurtz ha scoperto che gli allegati di posta aperti nell'app Mobile Mail in bundle sui dispositivi iOS 7 non sono crittografati, anche se Apple afferma che i file sono protetti con la sua tecnologia di protezione dei dati. Le versioni interessate includono iOS 7.0.4 e iOS 7.1, nonché la più recente, iOS 7.1.1, Kurtz ha scritto sul suo blog. Ha verificato il problema su un iPhone 4, iPad2 e iPhone 5s.

"Ho notato che gli allegati di posta elettronica all'interno di iOS 7 MobileMail.app non sono protetti dai meccanismi di protezione dei dati di Apple", ha scritto Kurtz, ricercatore di NESO Labs.

Andrey Belenko, un ricercatore di viaForensics ha confermato la vulnerabilità, ma ha osservato che mentre alcuni allegati non erano crittografati, altri file di posta avevano una qualche forma di protezione dei dati. Il negozio di messaggi principale aveva abilitato la protezione dei dati, ma altri elementi di posta, come l'indice di busta e i recenti, non sono stati rilevati tramite Forensics.

"Il difetto è stato osservato ma non ha influenzato globalmente tutti gli allegati di posta elettronica", ha osservato viaForensics in un post sul blog.

Un difetto, ma quanto è grave?

Il fatto che gli allegati non siano crittografati su iOS può sollevare alcune bandiere rosse per aziende e governi che potrebbero avere dipendenti che accedono ai dati relativi al lavoro sui propri dispositivi mobili. Le aziende dovrebbero spostarsi dall'iPhone 4 per sfruttare "la maggiore sicurezza implementata nell'iPhone 4s e in avanti", ha affermato viaForensics. Per i consumatori, il significato del problema si riduce al fatto che un ladro vorrebbe o meno leggere gli allegati e-mail da un telefono rubato.

Si noti, tuttavia, che la vulnerabilità non può essere attivata in remoto e che l'utente malintenzionato deve avere accesso fisico al dispositivo iOS per accedere ai file non crittografati. L'aggressore deve anche già conoscere, o capire, il passcode del dispositivo per superare il blocco. L'altra opzione è quella di utilizzare una tecnica di jailbreak che funziona senza il passcode per raggiungere il file system. Sebbene esistano strumenti per il jailbreak di iPhone 4 e cellulari precedenti senza passcode, attualmente non esistono jailbreak per dispositivi più recenti come iPhone 5s e iPad in grado di bypassare il passcode.

Ci sono molti blocchi stradali che tengono gli attaccanti lontani dai file. Le nozioni di base si applicano ancora: utilizzare un passcode sul telefono. Non vi è alcun motivo per cui si dovrebbe rendere facile per un ladro prendere il telefono e ottenere l'accesso a tutti i dati.

Fix on the Way

Mentre Kurtz informava Apple del problema, la società gli disse che era a conoscenza del problema e stava già lavorando a una soluzione, che sarebbe stata consegnata come "futuro aggiornamento del software". Non è stata fornita alcuna linea temporale.

"Considerando il lungo tempo in cui iOS 7 è ormai disponibile e la sensibilità degli allegati di posta elettronica che molte aziende condividono sui propri dispositivi (fondamentalmente basandosi sulla protezione dei dati), mi aspettavo una patch a breve termine", ha scritto Kurtz, notando che il problema non era ancora risolto in iOS 7.1.1, rilasciato il mese scorso.

"Come Kurtz, siamo sorpresi che non sia stato corretto in 7.1.1", ha concordato viaForensics, ma ha detto che probabilmente era in arrivo una soluzione.

Apple non sta crittografando la posta su iOS 7 è male, ma non è un disastro