Vídeo: iPhone Pega Vírus? Como se Proteger e Removê-los! (Outubro 2024)
Embora seja verdade que os anexos de email não estejam criptografados na versão mais recente do iOS 7, a gravidade da falha não parece ser tão prejudicial quanto o relatado originalmente.
O pesquisador de segurança Andreas Kurtz descobriu que os anexos de email abertos no aplicativo Mobile Mail nos dispositivos iOS 7 não são criptografados, mesmo que a Apple alega que os arquivos estão protegidos usando sua tecnologia de proteção de dados. As versões afetadas incluem o iOS 7.0.4 e iOS 7.1, além do iOS 7.1.1 mais atual, escreveu Kurtz em seu blog. Ele verificou o problema em um iPhone 4, iPad2 e iPhone 5s.
"Notei que os anexos de email no iOS 7 MobileMail.app não são protegidos pelos mecanismos de proteção de dados da Apple", escreveu Kurtz, pesquisador do NESO Labs.
Andrey Belenko, pesquisador da viaForensics, confirmou a vulnerabilidade, mas observou que, enquanto alguns anexos não eram criptografados, outros arquivos de email tinham alguma forma de proteção de dados. O armazenamento principal de Mensagens tinha o Data Protection ativado, mas outros elementos de email, como Índice de Envelope e Recentes, não foram encontrados através do Forensics.
"A falha foi observada, mas não afetou globalmente todos os anexos de e-mail", observou a ViaForensics em uma postagem no blog.
Uma falha, mas quão grave?
O fato de os anexos não serem criptografados no iOS pode gerar alguns sinais de alerta para empresas e governos que podem ter funcionários acessando dados relacionados ao trabalho em seus dispositivos móveis. As empresas deveriam sair do iPhone 4 para aproveitar "a maior segurança implementada no iPhone 4s e para a frente", disse a ViaForensics. Para os consumidores, o significado do problema se resume a um ladrão querer ou não ler anexos de e-mail de um telefone roubado.
Observe, no entanto, que a vulnerabilidade não pôde ser disparada remotamente e o invasor deve ter acesso físico ao dispositivo iOS para acessar os arquivos não criptografados. O invasor também precisa saber - ou descobrir - a senha do dispositivo para passar pela trava. A outra opção é usar uma técnica de jailbreak que funcione sem a senha para acessar o sistema de arquivos. Embora existam ferramentas para fazer o jailbreak do iPhone 4 e aparelhos mais antigos sem uma senha, atualmente não existem jailbreak para dispositivos mais recentes, como o iPhone 5s e o iPad, que podem ignorar a senha.
São muitos obstáculos que mantêm os invasores longe dos arquivos. O básico ainda se aplica - use uma senha no seu telefone. Não há motivo para facilitar o acesso de um ladrão ao telefone e o acesso a qualquer um dos seus dados.
Conserte no caminho
Enquanto Kurtz notificou a Apple sobre o problema, a empresa disse a ele que estava ciente do problema e já estava trabalhando em uma correção, que seria entregue como uma "futura atualização de software". Nenhuma linha do tempo foi especificada.
"Considerando o longo tempo em que o iOS 7 já está disponível e a sensibilidade dos anexos de e-mail que muitas empresas compartilham em seus dispositivos (confiando fundamentalmente na proteção de dados), eu esperava um patch de curto prazo", escreveu Kurtz, observando que o problema ainda não estava resolvido. corrigido no iOS 7.1.1, lançado no mês passado.
"Como Kurtz, estamos surpresos por não ter sido corrigido no 7.1.1", concordou a viaForensics, mas disse que provavelmente havia uma correção a caminho.
