Мобильная операционная система iOS от Apple считается одной из самых безопасных и защищенных, но и в ней время от времени находятся слабые места. На сей раз проблема касается встроенного почтового клиента и прикрепленных к письмам файлов, которые, как выяснилось, не защищены шифрованием.
Эксперт в области безопасности Андреас Керц обнаружил, что актуальные версии iOS, включая iOS 7.1.1 и iOS 7.0.4, не шифруют вложения электронной почты во встроенном клиенте Mail. Эту находку можно назвать потенциально опасной, потому что сама Apple подчеркивает среди достоинств встроенного в мобильную операционную систему почтового клиента наличие шифрования для вложений.
Чтобы подтвердить свою теорию, Керц обновил iPhone 4 до iOS 7.1.1 и настроил на нем учетную запись электронной почты, использующую протокол IMAP. Затем эксперт получил доступ к файловой системе смартфона и нашел прикрепленные к письмам файлы – они оказались не защищены шифрованием. Свою находку Керц также проверил на iPad 2 и iPhone 5s. Везде результат оказался аналогичным – обещанное шифрование не работает.
Андреас Керц поместил запись об этом в своем блоге после выхода iOS 7.1.1 еще в прошлом месяце, но внимание она привлекла лишь сейчас. В Apple уже обратили внимание на находку эксперта и обещают устранить данную уязвимость. Разумеется, сроки релиза апдейта неизвестны. Однако если вам по долгу службы приходиться прикреплять к письмам секретные данные, то лучше перестраховаться и воспользоваться другим клиентом. [9to5]
23 комментариев
Форум →Интересно, а если S/MIME включить, это повлияет?
Какой бред.
Какая уязвимость? Чтобы увидеть где-то в недрах iOS незашифрованные вложения – надо зашанять девайс в dfu и подключать к пк. Рыться в папках, чтобы их найти.
На дык с какого боку здесь уязвимость. Каким образом можно добраться до вложений в почтовой программе в iOS удалённо? Вы способны по WiFi загнать мой девайс в нужный режим, после каким-то макаром подключитесь (даже не представлю себе как это сделать в DFU) к файловой системе и получить доступ к вложениям, которые хранятся на устройстве.
Потому и бред.
@Lefechka, у меня в контракте прописан виолейшн до годовой зарплаты в случае утери телефона, так что все норм. Когда патч внедрят, будет повод поругаться с юристами на предмет уменьшения до стандартных 3 месяцев.
@Smolny, я бы в таком случае вообще от такого телефона отказался. Гоп-стоп везде возможен.
@Lefechka, бред это твой комментарий. А уязвимость вполне себе “нормальная”.
@stepkin2, обоснуй
@Lefechka, тебе краткий курс по информационной безопасности прочитать? Обойдешься.
@stepkin2, типичный ответ человека, который сам обладает поверхностными знаниями!
@dimixx, вот и я про то. Как это влияет на безопасность моих вложений? Само приложение при работе с письмами их шифрует, а то что они лежат незашифрованные в глубинах закрытой и запароленной iOS – дык как до них добраться из вне?
Болтать не камешки ворочать
@Lefechka, не обязательно ведь удаленно. Вдруг девайс попадет в руки хакера
@di3x,, если он знает пароль – прочтет и с шифрованием, если не знает, то вся файловая система зашифрована.
@Bfink, Действительно все файлы шифруются, но ключи шифрования лежат там же на устройстве.
Вот как раз уже ключи шифруются или нет на основе пароля или пин-кода, который ставится на устройство.
Если на устройстве нет ни пин-кода ни пароля, то все ключи открыты. Если есть пароль или пин-код, то будут зашифрованы ключи только тех файлов для которых установлен специальный класс защиты.
От программиста требуется чтобы эти классы защиты были расставлены на нужных файлах, а здесь в почте почему-то это не сделали.
Написал так подробно, потому что увидел опасное заблуждение, что раз на устройстве есть пароль, то все данные надежно защищены.
@alex.roslyakov, да, но если нет пароля, то смысл статьи вообще пропадает, т.к посмотреть можно прямо с утр-ва. Я как понимаю данные не шифруются при пересылке письма, соответственно его можно перехватить
@oleg_to, шифрование при пересылке письма делается протоколом передачи, если включен SSL при доступе к mail-серверу, то все передается зашифрованным и не поддается расшифровке в случае перехвата “по пути”. В случае, когда SSL не включен, почтовое сообщение передается расшифрованным, независимо от того было ли оно зашифровано на iPhone. Кроме того, в случае отсутствия SSL и пароли к почтовому серверу передаются в открытом состоянии, то есть нет необходимости перехватывать и анализировать всю передачу, остаточно получить пароль и далее подключиться к mail- серверу и получить все интересующие письма
@alex.roslyakov, все файлы зашифрованы, все ключи защиты тоже зашифрованы. То, что на файле указана доступность означает только, что другие программы на только данном iPhone в разблокированном состоянии могут расшифровать ключи защиты этого файла.
То есть не получится скопировать “незащищенные” файлы и расшифровать их на компьютере или другом iPhone.
Все возможные на данный момент операции на оригинальном iPhone базируются на Jailbreak-е, который нельзя сделать незаметно, а для последних устройств и последней версии пока вообще нельзя сделать.
Если же пароля нет, или его подобрать легко, то все эти рассуждения теряют силу – достаточно открыть mail.
Извените вопрос не по теме. Ipad 3, ios 7.0.2., не прдключается к сети wifi, но обраруживает сеть. Забыть эту сеть и сброс настроек сети не помогло. Что делать
@jamick, отключи в настройках роутера 802.11n для Wifi и будет тебе счастье.
Обратите внимание, что использовался iPhone4. Иначе как бы получить доступ к файловой системе? Но проблема непонятна – если есть доступ к iPhone, то можно открыть mail и скопировать вложения в рас шифрованном формате. Если нет доступа, то вся файловая система зашифрована. Если телефон взломан, то это соответствует первому варианту. Что даст шифрование вложения?
При передаче все письмо шифруется, если включен защищенный протокол доступа к почтовому серверу. Если не включен, то пароли передаются открыто. Зачем запирать ворота, если вокруг них нет забора?
Да в плане вложений иос 7 шлак. Попробуйте открыть письмо например с 15-20 фотками – и нажмите “загрузить все” внизу письма. И увидете как безбожно начинает тупить это письмо.
А если потом перейти к соседнему письму и обратно – опять жди минут 5 пока вложенные картинки снова отобразятся
Как этот эксперт получил доступ к файловой системе на iphone 5s?
Меня больше всего огорчает в почтовом клиенте то, что когда перемещаешь письмо в спам, то не правило для этого письма не создается автоматически. Какой смысл тогда перемещать письмо в спам, если последующие письма от этого адресата продолжают валиться в папку входящие.
@Старый Пью, Согласен!!! Обилие спама просто убивает!!!
@Старый Пью, через айклауде сделал себе псевдонимы для регистрации на сайтах и публикации где-то – проблем со спамом нет, а если будет сделаю другой псевдоним. Там их 3 можно создать.
Вообще пользуюсь давно и пока спама нет. Самое интересное, что ящик не скрываю особо и не думаю, куда можно указать, а куда нет.
Совсем не давно, когда стало совсем много писем по работе пришел к выводу, что ящики Apple самые удобные.
Я пользовался ранее gmail и настроил все под себя (ярлыки, фильтры). Но все равно терял время на поиск нужных писем, путался в ярлыках. Сейчас 4 правила в айклауде по распределению писем на 4 папки (против около 45 правил на гмейл). Папки сделал, чтобы на иос можно было разделить уведомления ПУШ. На айфоне все уведомления, а на айпад только папки поставщики. Конечно, 4 папки недостаточно для человека с количеством корреспонденции в день от 30 писем.
Но на айфоне и айпаде эта вся ботва не нужна. Остальное доделываю все на смартящиках в мак. Очень удобно и круто.
Смотреть на то, как на айфонс делают обзор программы которая отображает письма по тому кто написал – бред. Смарт ящики сила и делается это в два клика.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как отвязать Apple Watch от iPhone, если смартфон украли
Как изменить назначение кнопок громкости на iPad
Почему App Store просит деньги за бесплатные приложения
Почему AirPods не зачитывают входящие уведомления
Как использовать iMac в режиме внешнего дисплея
Как поставить рейтинг песням в iOS 10 в приложении Музыка?
Включаем автоматическую смену часового пояса на iPhone
Что делать, если не работает стандартное приложение Погода на iPhone