Vídeo: Apple WWDC 2013 - iOS 7 Introduction (Setembre 2024)
Tot i que és cert que els fitxers adjunts per correu electrònic no es xifren a la darrera versió d’iOS 7, sembla que la fallada no és tan perjudicial com es va informar inicialment.
L’investigador en seguretat Andreas Kurtz va descobrir que els fitxers adjunts de correu oberts a l’aplicació Mobile Mail inclosa en dispositius iOS 7 no estan xifrats, tot i que Apple afirma que els fitxers estan protegits mitjançant la seva tecnologia de protecció de dades. Les versions afectades inclouen iOS 7.0.4 i iOS 7.1, així com l’actual iOS 7.1.1, va escriure Kurtz al seu bloc. Va verificar el problema en un iPhone 4, iPad2 i iPhone 5s.
"Em vaig adonar que els fitxers adjunts de correu electrònic de iOSMobileMail.app no estan protegits pels mecanismes de protecció de dades d'Apple", va escriure Kurtz, investigador de NESO Labs.
Andrey Belenko, investigador de viaForensics va confirmar la vulnerabilitat, però va assenyalar que, mentre que alguns fitxers adjunts no estaven xifrats, altres fitxers de correu tenien algun tipus de protecció de dades. La botiga principal de missatges tenia la protecció de dades habilitada, però no es van trobar altres elements de correu electrònic, com a índex de sobre i els recents.
"El defecte es va observar, però no va afectar globalment tots els fitxers adjunts de correu electrònic", va assenyalar viaForensics en una publicació al bloc.
Un defecte, però tan greu?
El fet que els fitxers adjunts no estiguin xifrats a iOS pot generar banderes vermelles per a les corporacions i governs que puguin tenir empleats que accedeixin a dades relacionades amb el treball als seus dispositius mòbils. Les empreses haurien de deixar anar l'iPhone 4 per aprofitar "la major seguretat implementada a l'iPhone 4s i endavant", va dir viaForensics. Per als consumidors, la importància del problema es refereix a si un lladre vol o no llegir els fitxers adjunts per correu electrònic des d’un telèfon robat.
Tingueu en compte, però, que la vulnerabilitat no es pot desencadenar de forma remota i que l'atacant ha de tenir accés físic al dispositiu iOS per poder accedir als fitxers no xifrats. L'atacant també ha de conèixer -o esbrinar- la contrasenya del dispositiu per superar el pany. L’altra opció és utilitzar una tècnica de jailbreak que funciona sense la contrasenya per arribar al sistema d’arxius. Tot i que hi ha eines per a jailbreak iPhone 4 i telèfons anteriors sense codi de contrasenya, actualment no hi ha jailbreaks per a dispositius més nous, com l'iPhone 5s i l'iPad que puguin obviar la contrasenya.
Hi ha molts bloqueigs de carretera que impedeixen als atacants allunyar-se dels fitxers. Els conceptes bàsics encara s’apliquen: utilitzeu una contrasenya al telèfon. No hi ha cap raó per la qual haureu de facilitar que el lladre agafi el telèfon i tingui accés a qualsevol de les vostres dades.
Arranjament al camí
Mentre Kurtz va notificar a Apple el problema, la companyia li va dir que tenia coneixement del problema i que ja estava treballant en una solució, que es lliurarà com a "futura actualització de programari". No es va donar cap línia de temps.
"Tenint en compte que el iOS 7 ja fa temps que està disponible i la sensibilitat dels fitxers adjunts de correu electrònic que moltes empreses comparteixen en els seus dispositius (fonamentant-se fonamentalment en la protecció de dades), m'esperava un pegat a curt termini", va escriure Kurtz, tot destacant que el problema encara no ho era. corregit a iOS 7.1.1, llançat el mes passat.
"Igual que Kurtz, ens sorprèn que no hagi quedat pegat al 7.1.1", van coincidir viaForensics, però van dir que és probable que hi hagués una correcció.
