czwartek, 28 marca

security-flaw-email-attachments

Choć Apple zawsze twierdził, że korzysta z szyfrowania danych w celu ochrony załączników wiadomości e-mail, to raport badacza bezpieczeństwa Andreasa Kurtza stwierdza, że iOS 7.0.4 i nowszy nie zawiera tej funkcji zabezpieczeń.

Kurtz wykrył tę lukę w iOS przez uzyskanie dostępu do systemu plików na iPhone’ie 4 z systemem iOS 7.1 i 7.1.1. Przeglądając folder poczty dla konta IMAP, Kurtz odkrył, że załączniki e-mail były przechowywane w formie nieszyfrowanej. Poza iPhone’em 4, Kurtz również był w stanie odtworzyć tę lukę na iPhone’ie 5S i iPadzie 2 z systemem iOS 7.0.4.

Zweryfikowałem ten problem poprzez przywrócenie iPhone’a 4 do najnowszych wersji iOS (7.1 i 7.1.1) oraz utworzenie emailowego konta IMAP, który dostarczył mi kilka e-maili i załączników do badań. Potem wyłączył urządzenie i dostał się do systemu plików za pomocą znanych technik (tryb DFU, niestandardowy ramdysk). Wreszcie zamontowałem partycję danych iOS i nawigowałem w aktualnym folderze e-mail. W tym folderze, znalazłem wszystkie załączniki dostępne bez ograniczeń szyfrowania.

Kurtz zgłosił ten problem do Apple, który przyznał się do luki, choć nie poinformował o harmonogramie załatania jej. To nie jest pierwszy problem Apple z zabezpieczeniami w tym roku. Firma niedawno załatała poważną lukę weryfikacji połączenia SSL w obu systemach iOS i OS X, które pozwalały atakującemu na „uprzywilejowany dostęp do sieci” oraz przechwytywanie danych chronionych protokołami SSL / TLS.

[contentblock id=1 img=iframe.png]

Udostępnij:
Subscribe
Powiadom o
guest

0 komentarzy
Inline Feedbacks
View all comments
0
Chciałbyś się podzielić swoim przemyśleniem? Zostaw komentarzx