Rumah Jam keamanan Apple tidak mengenkripsi surat pada ios 7 itu buruk, tetapi bukan bencana

Apple tidak mengenkripsi surat pada ios 7 itu buruk, tetapi bukan bencana

Video: How to block a sender in Mail in iOS 13 on your iPhone, iPad, or iPod touch – Apple Support (Desember 2024)

Video: How to block a sender in Mail in iOS 13 on your iPhone, iPad, or iPod touch – Apple Support (Desember 2024)
Anonim

Meskipun benar bahwa lampiran email tidak dienkripsi pada versi terbaru iOS 7, tingkat keparahan cacat tampaknya tidak begitu merusak seperti yang dilaporkan sebelumnya.

Peneliti keamanan Andreas Kurtz menemukan bahwa lampiran surat yang dibuka di aplikasi Mobile Mail yang dibundel pada perangkat iOS 7 tidak dienkripsi, meskipun Apple mengklaim file-file tersebut diamankan menggunakan teknologi Perlindungan Data. Versi yang terpengaruh meliputi iOS 7.0.4 dan iOS 7.1, serta yang terbaru, iOS 7.1.1, tulis Kurtz di blog-nya. Dia memverifikasi masalah pada iPhone 4, iPad2, dan iPhone 5s.

"Saya perhatikan bahwa lampiran email dalam iOS 7 MobileMail.app tidak dilindungi oleh mekanisme perlindungan data Apple, " tulis Kurtz, seorang peneliti di NESO Labs.

Andrey Belenko, seorang peneliti di viaForensics mengkonfirmasi kerentanan, tetapi mencatat bahwa sementara beberapa lampiran tidak dienkripsi, file email lainnya memiliki beberapa bentuk perlindungan data. Toko Pesan utama memiliki Perlindungan Data diaktifkan, tetapi elemen email lainnya, seperti Envelope Index dan Recents, tidak, melalui Forensics ditemukan.

"Cacat itu diamati tetapi tidak secara global memengaruhi semua lampiran email, " catat ForForensics dalam posting blog.

Cacat, Tapi Seberapa Parah?

Fakta bahwa lampiran tidak dienkripsi di iOS dapat menimbulkan beberapa tanda bahaya bagi perusahaan dan pemerintah yang mungkin memiliki karyawan yang mengakses data terkait pekerjaan pada perangkat seluler mereka. Perusahaan harus memindahkan iPhone 4 untuk mengambil keuntungan dari "keamanan yang lebih tinggi yang diterapkan pada iPhone 4s dan seterusnya, " kata viaForensics. Bagi konsumen, pentingnya masalah ini bermuara pada apakah seorang pencuri ingin membaca lampiran email dari telepon curian.

Perhatikan, bagaimanapun, bahwa kerentanan tidak dapat dipicu dari jarak jauh, dan penyerang harus memiliki akses fisik ke perangkat iOS untuk mengakses file yang tidak dienkripsi. Penyerang juga harus sudah tahu - atau mencari tahu - kode sandi perangkat untuk bisa melewati kunci. Opsi lainnya adalah menggunakan teknik jailbreak yang bekerja tanpa kode sandi untuk mencapai sistem file. Meskipun ada alat untuk melakukan jailbreak iPhone 4 dan handset lama tanpa kode sandi, saat ini tidak ada jailbreak untuk perangkat yang lebih baru seperti iPhone 5s dan iPad yang dapat mem-bypass passcode.

Itu banyak penghalang yang menjauhkan para penyerang dari file. Dasar-dasar masih berlaku - gunakan kode sandi pada ponsel Anda. Tidak ada alasan mengapa Anda harus memudahkan pencuri untuk mengambil telepon Anda dan mendapatkan akses ke data Anda.

Perbaiki di Jalan

Sementara Kurtz memberi tahu Apple tentang masalah ini, perusahaan mengatakan kepadanya bahwa mereka mengetahui masalah ini dan sudah memperbaiki, yang akan disampaikan sebagai "pembaruan perangkat lunak di masa mendatang." Tidak ada garis waktu yang diberikan.

"Mengingat iOS lama sudah tersedia sekarang dan sensitivitas lampiran email yang dibagikan banyak perusahaan di perangkat mereka (secara mendasar mengandalkan perlindungan data), saya mengharapkan tambalan jangka pendek, " tulis Kurtz, mencatat masalah ini masih belum diperbaiki di iOS 7.1.1, dirilis bulan lalu.

"Seperti Kurtz, kami terkejut itu tidak ditambal dalam 7.1.1, " via Forensics setuju, tetapi mengatakan itu kemungkinan perbaikan sedang dalam perjalanan.

Apple tidak mengenkripsi surat pada ios 7 itu buruk, tetapi bukan bencana