Я люблю Mailbox. Возможность быстро отвечать и сортировать входящие письма вкупе с хорошим интерфейсом окончательно победили встроенный почтовый клиент iOS, который не запускался уже с месяц. Но у Mailbox есть одна странная проблема, которой грешат разве что неопытные разработчики и их проекты. Все письма, сохранённые в памяти приложения, свободно доступны в виде «голого» текста при подключении к компьютеру.
Знатную дыру в безопасности обнаружил разработчик Субрансу Бехера, такой же любитель Mailbox. Оказывается, приложение сохраняет данные контактов E-mail, текст писем и вложения в незашифрованном виде — базе данных SQLite. Лежит она в папке Documents, которая, в свою очередь, доступна через любой файловый менеджер без джейлбрейка. Иными словами, чтобы заполучить все ваши последние письма, достаточно подключить iPhone к компьютеру и достать один-единственный файл. Там есть всё: тема писем, адресат, отправитель, текст и вложения.
Правда, есть несколько смягчающих факторов. Во-первых, удалённый доступ к этому файлу невозможен. То бишь злоумышленнику понадобится физический доступ к смартфону. Отсюда вытекает второй фактор: если у кого-то уже есть ваш телефон, зачем ему лезть в файловую систему, если можно просто открыть приложение и прочитать всё? Заблаговременная смена пароля, впрочем, вас уже не спасёт: содержимое папки при этом не очистится. В общем, Mailbox’у не помешало бы шифрование данных. [9to5]
28 комментариев