บ้าน Securitywatch Apple ไม่ได้เข้ารหัสเมลบน ios 7 ไม่ดี แต่ไม่ใช่ความเสียหาย

Apple ไม่ได้เข้ารหัสเมลบน ios 7 ไม่ดี แต่ไม่ใช่ความเสียหาย

2024

วีดีโอ: à¹€à¸žà¸¥à¸‡à¹ à¸”à¸™à¸‹à¹Œà¸¡à¸²à¹ƒà¸«à¸¡à¹ˆ2017à¹€à¸šà¸ªà¹ à¸™à¹ˆà¸™à¸Ÿà¸±à¸‡à (กันยายน 2024)

วีดีโอ: à¹€à¸žà¸¥à¸‡à¹ à¸”à¸™à¸‹à¹Œà¸¡à¸²à¹ƒà¸«à¸¡à¹ˆ2017à¹€à¸šà¸ªà¹ à¸™à¹ˆà¸™à¸Ÿà¸±à¸‡à (กันยายน 2024)

แม้ว่าจะเป็นความจริงที่ไฟล์แนบของอีเมลไม่ได้เข้ารหัสใน iOS 7 เวอร์ชันล่าสุด แต่ความรุนแรงของข้อบกพร่องไม่ได้เป็นความเสียหายตามที่รายงานไว้ในตอนแรก

นักวิจัยด้านความปลอดภัย Andreas Kurtz ค้นพบว่าสิ่งที่แนบมากับอีเมลที่เปิดในแอพ Mobile Mail ที่มาพร้อมกับอุปกรณ์ iOS 7 นั้นไม่ได้ถูกเข้ารหัสแม้ว่า Apple อ้างว่าไฟล์นั้นปลอดภัยโดยใช้เทคโนโลยี Data Protection เวอร์ชันที่ได้รับผลกระทบ ได้แก่ iOS 7.0.4 และ iOS 7.1 รวมถึงเวอร์ชันล่าสุด iOS 7.1.1 Kurtz เขียนลงบนบล็อกของเขา เขาตรวจสอบปัญหาใน iPhone 4, iPad2 และ iPhone 5s

"ฉันสังเกตเห็นว่าสิ่งที่แนบมากับอีเมลภายใน iOS 7 MobileMail.app ไม่ได้รับการปกป้องโดยกลไกการปกป้องข้อมูลของ Apple" Kurtz นักวิจัยของ NESO Labs เขียน

Andrey Belenko นักวิจัยของ viaForensics ยืนยันว่ามีช่องโหว่ แต่สิ่งที่แนบมานั้นไม่ได้เข้ารหัส แต่ไฟล์จดหมายอื่น ๆ นั้นมีการป้องกันข้อมูลบางรูปแบบ ที่เก็บข้อความหลักเปิดใช้งานการป้องกันข้อมูล แต่ไม่พบองค์ประกอบจดหมายอื่น ๆ เช่นดัชนีซองจดหมายและรายการล่าสุดผ่านทางฟอเรนซ์

"พบข้อบกพร่อง แต่ไม่ได้ส่งผลกระทบต่อไฟล์แนบอีเมลทั้งหมดทั่วโลก" ผ่านทาง Forensics ที่ระบุไว้ในบล็อกโพสต์

ข้อบกพร่อง แต่รุนแรงแค่ไหน

ความจริงที่ว่าสิ่งที่แนบมานั้นไม่มีการเข้ารหัสบน iOS อาจเพิ่มค่าสถานะสีแดงสำหรับ บริษัท และรัฐบาลที่อาจมีพนักงานที่เข้าถึงข้อมูลที่เกี่ยวข้องกับงานบนอุปกรณ์มือถือของพวกเขา องค์กรควรจะย้ายออกจาก iPhone 4 เพื่อใช้ประโยชน์จาก "ความปลอดภัยที่สูงขึ้นใน iPhone 4s และไปข้างหน้า" viaForensics กล่าว สำหรับผู้บริโภคความสำคัญของปัญหาเดือดลงไปว่าโจรต้องการอ่านไฟล์แนบอีเมลจากโทรศัพท์ที่ถูกขโมยหรือไม่

อย่างไรก็ตามโปรดทราบว่าช่องโหว่นี้ไม่สามารถเรียกใช้จากระยะไกลได้และผู้โจมตีจะต้องเข้าถึงอุปกรณ์ iOS เพื่อเข้าถึงไฟล์ที่ไม่ได้เข้ารหัส ผู้โจมตีต้องรู้แล้ว - หรือคิดรหัสผ่านของอุปกรณ์เพื่อล็อค ตัวเลือกอื่นคือการใช้เทคนิคการแหกคุกที่ทำงานโดยไม่มีรหัสผ่านเพื่อเข้าถึงระบบไฟล์ ในขณะที่มีเครื่องมือในการแหกคุก iPhone 4 และโทรศัพท์มือถือรุ่นเก่าที่ไม่มีรหัสผ่าน แต่ในปัจจุบันยังไม่มีการเจลเบรคสำหรับอุปกรณ์ใหม่เช่น iPhone 5s และ iPad ที่สามารถเลี่ยงรหัสผ่านได้

สิ่งกีดขวางบนถนนจำนวนมากทำให้ผู้โจมตีไม่ต้องอยู่ในไฟล์ การใช้งานพื้นฐานยังคงใช้รหัสผ่านในโทรศัพท์ของคุณ ไม่มีเหตุผลว่าทำไมคุณควรทำให้คนขโมยหยิบโทรศัพท์ของคุณและเข้าถึงข้อมูลของคุณได้อย่างง่ายดาย

แก้ไขทาง

ในขณะที่ Kurtz แจ้งให้ Apple ทราบถึงปัญหา บริษัท บอกเขาว่าได้รับทราบปัญหาแล้วและกำลังแก้ไขปัญหาอยู่ซึ่งจะส่งมอบเป็น "การอัปเดตซอฟต์แวร์ในอนาคต" ไม่ได้รับไทม์ไลน์

"เมื่อพิจารณาถึง iOS 7 ที่มีอยู่เป็นเวลานานและความไวของสิ่งที่แนบมากับอีเมลหลายองค์กรใช้ร่วมกันบนอุปกรณ์ของพวกเขา (พื้นฐานการพึ่งพาการปกป้องข้อมูล) ฉันคาดว่าจะมีการแก้ไขในระยะใกล้" Kurtz เขียน ได้รับการแก้ไขใน iOS 7.1.1 เผยแพร่เมื่อเดือนที่แล้ว

"เช่นเดียวกับ Kurtz เรารู้สึกประหลาดใจที่ไม่ได้รับการแก้ไขใน 7.1.1" ผ่านทาง Forensics ที่เห็นด้วย แต่บอกว่ามันน่าจะเป็นวิธีแก้ไข