ビデオ: WWDC 2020 Special Event Keynote — Apple (九月 2024)
iOS 7の最新バージョンでは電子メールの添付ファイルが暗号化されていないのは事実ですが、欠陥の重大度は最初に報告されたほど深刻ではないようです。
セキュリティ研究者のAndreas Kurtzは、Appleがデータ保護技術を使用してファイルが保護されていると主張しているにもかかわらず、iOS 7デバイスのバンドルされたMobile Mailアプリで開かれたメール添付ファイルが暗号化されないことを発見しました。 影響を受けるバージョンには、iOS 7.0.4とiOS 7.1、および最新のiOS 7.1.1が含まれます、Kurtzは彼のブログに書いています。 彼は、iPhone 4、iPad2、およびiPhone 5sで問題を検証しました。
「iOS 7 MobileMail.app内の電子メールの添付ファイルは、Appleのデータ保護メカニズムによって保護されていないことに気付きました」とNESO Labsの研究者であるKurtzは書きました。
viaForensicsの研究者であるAndrey Belenkoはこの脆弱性を確認しましたが、一部の添付ファイルは暗号化されていませんが、他のメールファイルには何らかの形のデータ保護がありました。 メインのメッセージストアではデータ保護が有効になっていますが、Envelope IndexやRecentsなどの他のメール要素は、Forensicsを介して見つかりませんでした。
「欠陥は観察されましたが、すべての電子メールの添付ファイルにグローバルに影響を与えることはありませんでした」viaForensicsはブログ投稿で指摘しました。
欠陥、しかしどれほど深刻か?
iOSで添付ファイルが暗号化されていないという事実は、従業員がモバイルデバイスの仕事関連データにアクセスしている可能性がある企業や政府にとって、危険を引き起こす可能性があります。 Forensicsによると、企業は「iPhone 4s以降に実装されている高度なセキュリティ」を活用するために、iPhone 4から移行する必要があります。 消費者にとって、この問題の重要性は、泥棒が盗まれた電話から電子メールの添付ファイルを読みたいかどうかに要約されます。
ただし、この脆弱性をリモートでトリガーすることはできません。また、暗号化されていないファイルにアクセスするには、攻撃者がiOSデバイスに物理的にアクセスできる必要があります。 攻撃者は、ロックをすり抜けるために、デバイスのパスコードをすでに知っているか、または把握する必要があります。 他のオプションは、ファイルシステムに到達するためにパスコードなしで機能するジェイルブレイク技術を使用することです。 パスコードなしでiPhone 4以前の携帯電話をジェイルブレイクするツールはありますが、現在、パスコードをバイパスできるiPhone 5sやiPadなどの新しいデバイスのジェイルブレイクはありません。
これは、攻撃者をファイルから遠ざける多くの障害です。 基本事項は引き続き適用されます。携帯電話でパスコードを使用してください。 泥棒があなたの電話を手に取り、あなたのデータにアクセスするのを簡単にするべき理由はありません。
修正中
KurtzはAppleにこの問題を通知したが、同社はこの問題を認識しており、すでに修正に取り組んでおり、「将来のソフトウェアアップデート」として配信されると述べた。 タイムラインは与えられませんでした。
「長い間iOS 7が利用可能になり、多くの企業がデバイスで共有する電子メールの添付ファイルの機密性(基本的にデータ保護に依存していること)を考慮して、短期的なパッチを期待していました」先月リリースされたiOS 7.1.1で修正されました。
「Kurtzと同様に、7.1.1でパッチが適用されなかったことに驚いています」とviaForensicsは同意しましたが、修正が行われる可能性が高いと述べました。
