iOS 7 не шифрует вложения электронной почты в клиенте Mail

Юрий Милош avatar | 23
FavoriteLoading В закладки
iOS 7 не шифрует вложения электронной почты в клиенте Mail

Мобильная операционная система iOS от Apple считается одной из самых безопасных и защищенных, но и в ней время от времени находятся слабые места. На сей раз проблема касается встроенного почтового клиента и прикрепленных к письмам файлов, которые, как выяснилось, не защищены шифрованием.

Эксперт в области безопасности Андреас Керц обнаружил, что актуальные версии iOS, включая iOS 7.1.1 и iOS 7.0.4, не шифруют вложения электронной почты во встроенном клиенте Mail. Эту находку можно назвать потенциально опасной, потому что сама Apple подчеркивает среди достоинств встроенного в мобильную операционную систему почтового клиента наличие шифрования для вложений.

Чтобы подтвердить свою теорию, Керц обновил iPhone 4 до iOS 7.1.1 и настроил на нем учетную запись электронной почты, использующую протокол IMAP. Затем эксперт получил доступ к файловой системе смартфона и нашел прикрепленные к письмам файлы – они оказались не защищены шифрованием. Свою находку Керц также проверил на iPad 2 и iPhone 5s. Везде результат оказался аналогичным – обещанное шифрование не работает.

Андреас Керц поместил запись об этом в своем блоге после выхода iOS 7.1.1 еще в прошлом месяце, но внимание она привлекла лишь сейчас. В Apple уже обратили внимание на находку эксперта и обещают устранить данную уязвимость. Разумеется, сроки релиза апдейта неизвестны. Однако если вам по долгу службы приходиться прикреплять к письмам секретные данные, то лучше перестраховаться и воспользоваться другим клиентом. [9to5]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Мобильная операционная система iOS от Apple считается одной из самых безопасных и защищенных, но и в ней время от времени находятся слабые места. На сей раз проблема касается встроенного почтового клиента и прикрепленных к письмам файлов, которые, как выяснилось, не защищены шифрованием. Эксперт в области безопасности Андреас Керц обнаружил, что актуальные версии iOS, включая iOS...
Прокомментировать

🙈 Комментарии 23

  1. i3laze avatar
    i3laze6 мая 2014
    0

    Интересно, а если S/MIME включить, это повлияет?

  2. Lefechka avatar
    Lefechka6 мая 2014
    0

    Какой бред.
    Какая уязвимость? Чтобы увидеть где-то в недрах iOS незашифрованные вложения – надо зашанять девайс в dfu и подключать к пк. Рыться в папках, чтобы их найти.
    На дык с какого боку здесь уязвимость. Каким образом можно добраться до вложений в почтовой программе в iOS удалённо? Вы способны по WiFi загнать мой девайс в нужный режим, после каким-то макаром подключитесь (даже не представлю себе как это сделать в DFU) к файловой системе и получить доступ к вложениям, которые хранятся на устройстве.
    Потому и бред.

    Smolny avatar
    Smolny6 мая 2014
    0

    @Lefechka, у меня в контракте прописан виолейшн до годовой зарплаты в случае утери телефона, так что все норм. Когда патч внедрят, будет повод поругаться с юристами на предмет уменьшения до стандартных 3 месяцев.

    Михал Михалыч avatar
    0

    @Smolny, я бы в таком случае вообще от такого телефона отказался. Гоп-стоп везде возможен.

    stepkin2 avatar
    stepkin26 мая 2014
    0

    @Lefechka, бред это твой комментарий. А уязвимость вполне себе “нормальная”.

    Lefechka avatar
    Lefechka6 мая 2014
    0

    @stepkin2, обоснуй

    stepkin2 avatar
    stepkin26 мая 2014
    0

    @Lefechka, тебе краткий курс по информационной безопасности прочитать? Обойдешься.

    dimixx avatar
    dimixx6 мая 2014
    0

    @stepkin2, типичный ответ человека, который сам обладает поверхностными знаниями!

    Lefechka avatar
    Lefechka6 мая 2014
    0

    @dimixx, вот и я про то. Как это влияет на безопасность моих вложений? Само приложение при работе с письмами их шифрует, а то что они лежат незашифрованные в глубинах закрытой и запароленной iOS – дык как до них добраться из вне?
    Болтать не камешки ворочать

    di3x avatar
    di3x6 мая 2014
    0

    @Lefechka, не обязательно ведь удаленно. Вдруг девайс попадет в руки хакера

    Bfink avatar
    Bfink6 мая 2014
    0

    @di3x,, если он знает пароль – прочтет и с шифрованием, если не знает, то вся файловая система зашифрована.

    alex.roslyakov avatar
    alex.roslyakov6 мая 2014
    0

    @Bfink, Действительно все файлы шифруются, но ключи шифрования лежат там же на устройстве.
    Вот как раз уже ключи шифруются или нет на основе пароля или пин-кода, который ставится на устройство.
    Если на устройстве нет ни пин-кода ни пароля, то все ключи открыты. Если есть пароль или пин-код, то будут зашифрованы ключи только тех файлов для которых установлен специальный класс защиты.
    От программиста требуется чтобы эти классы защиты были расставлены на нужных файлах, а здесь в почте почему-то это не сделали.
    Написал так подробно, потому что увидел опасное заблуждение, что раз на устройстве есть пароль, то все данные надежно защищены.

    oleg_to avatar
    oleg_to6 мая 2014
    0

    @alex.roslyakov, да, но если нет пароля, то смысл статьи вообще пропадает, т.к посмотреть можно прямо с утр-ва. Я как понимаю данные не шифруются при пересылке письма, соответственно его можно перехватить

    Bfink avatar
    Bfink7 мая 2014
    0

    @oleg_to, шифрование при пересылке письма делается протоколом передачи, если включен SSL при доступе к mail-серверу, то все передается зашифрованным и не поддается расшифровке в случае перехвата “по пути”. В случае, когда SSL не включен, почтовое сообщение передается расшифрованным, независимо от того было ли оно зашифровано на iPhone. Кроме того, в случае отсутствия SSL и пароли к почтовому серверу передаются в открытом состоянии, то есть нет необходимости перехватывать и анализировать всю передачу, остаточно получить пароль и далее подключиться к mail- серверу и получить все интересующие письма

    Bfink avatar
    Bfink7 мая 2014
    0

    @alex.roslyakov, все файлы зашифрованы, все ключи защиты тоже зашифрованы. То, что на файле указана доступность означает только, что другие программы на только данном iPhone в разблокированном состоянии могут расшифровать ключи защиты этого файла.
    То есть не получится скопировать “незащищенные” файлы и расшифровать их на компьютере или другом iPhone.
    Все возможные на данный момент операции на оригинальном iPhone базируются на Jailbreak-е, который нельзя сделать незаметно, а для последних устройств и последней версии пока вообще нельзя сделать.
    Если же пароля нет, или его подобрать легко, то все эти рассуждения теряют силу – достаточно открыть mail.

  3. jamick avatar
    jamick6 мая 2014
    0

    Извените вопрос не по теме. Ipad 3, ios 7.0.2., не прдключается к сети wifi, но обраруживает сеть. Забыть эту сеть и сброс настроек сети не помогло. Что делать

    Cyborg avatar
    Cyborg6 мая 2014
    0

    @jamick, отключи в настройках роутера 802.11n для Wifi и будет тебе счастье.

  4. Bfink avatar
    Bfink6 мая 2014
    0

    Обратите внимание, что использовался iPhone4. Иначе как бы получить доступ к файловой системе? Но проблема непонятна – если есть доступ к iPhone, то можно открыть mail и скопировать вложения в рас шифрованном формате. Если нет доступа, то вся файловая система зашифрована. Если телефон взломан, то это соответствует первому варианту. Что даст шифрование вложения?
    При передаче все письмо шифруется, если включен защищенный протокол доступа к почтовому серверу. Если не включен, то пароли передаются открыто. Зачем запирать ворота, если вокруг них нет забора?

  5. di3x avatar
    di3x6 мая 2014
    0

    Да в плане вложений иос 7 шлак. Попробуйте открыть письмо например с 15-20 фотками – и нажмите “загрузить все” внизу письма. И увидете как безбожно начинает тупить это письмо.
    А если потом перейти к соседнему письму и обратно – опять жди минут 5 пока вложенные картинки снова отобразятся

  6. mlserg avatar
    mlserg6 мая 2014
    0

    Как этот эксперт получил доступ к файловой системе на iphone 5s?

  7. Старый Пью avatar
    Старый Пью6 мая 2014
    0

    Меня больше всего огорчает в почтовом клиенте то, что когда перемещаешь письмо в спам, то не правило для этого письма не создается автоматически. Какой смысл тогда перемещать письмо в спам, если последующие письма от этого адресата продолжают валиться в папку входящие.

    dimixx avatar
    dimixx6 мая 2014
    0

    @Старый Пью, Согласен!!! Обилие спама просто убивает!!!

    Meat-Grinder avatar
    Meat-Grinder6 мая 2014
    0

    @Старый Пью, через айклауде сделал себе псевдонимы для регистрации на сайтах и публикации где-то – проблем со спамом нет, а если будет сделаю другой псевдоним. Там их 3 можно создать.

    Вообще пользуюсь давно и пока спама нет. Самое интересное, что ящик не скрываю особо и не думаю, куда можно указать, а куда нет.

    Совсем не давно, когда стало совсем много писем по работе пришел к выводу, что ящики Apple самые удобные.
    Я пользовался ранее gmail и настроил все под себя (ярлыки, фильтры). Но все равно терял время на поиск нужных писем, путался в ярлыках. Сейчас 4 правила в айклауде по распределению писем на 4 папки (против около 45 правил на гмейл). Папки сделал, чтобы на иос можно было разделить уведомления ПУШ. На айфоне все уведомления, а на айпад только папки поставщики. Конечно, 4 папки недостаточно для человека с количеством корреспонденции в день от 30 писем.
    Но на айфоне и айпаде эта вся ботва не нужна. Остальное доделываю все на смартящиках в мак. Очень удобно и круто.
    Смотреть на то, как на айфонс делают обзор программы которая отображает письма по тому кто написал – бред. Смарт ящики сила и делается это в два клика.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь