Apple утверждает, что использует шифрование данных для защиты вложений сообщений электронной почты, однако отчет исследователя безопасности Андреаса Курца, опубликованный через ZDNet, заявляет, что в iOS 7.0.4 и более поздних версиях эта функция безопасности отсутствует.
Курц обнаружил эту уязвимость в iOS, получив доступ к файловой системе iPhone 4 под управлением iOS 7.1 и 7.1.1. Просматривая папку электронной почты для учетной записи IMAP, Курц обнаружил, что вложения электронной почты хранились в незашифрованном виде. Помимо iPhone 4, Курцу удалось воспроизвести эту уязвимость на iPhone 5s и iPad 2 под управлением iOS 7.0.4.
Я проверил эту проблему, восстановив устройство iPhone 4 (GSM) до последних версий iOS (7.1 и 7.1.1) и настроив учетную запись электронной почты IMAP1, что позволило мне получить несколько тестовых писем и вложений. После этого я отключил устройство и получил доступ к файловой системе, используя известные методы (режим DFU, пользовательский RAM-диск, SSH через usbmux). Наконец, я смонтировал раздел данных iOS и перешел к фактической папке электронной почты. В этой папке я обнаружил все вложения доступными без какого-либо шифрования/ограничений.
Курц сообщил об этой проблеме Apple, которая признала уязвимость, но не предоставила сроков ее устранения. Это не первая проблема безопасности, с которой Apple столкнулась в этом году. Компания недавно исправила серьезную уязвимость в проверке SSL-соединений как в iOS, так и в OS X, которая позволяла злоумышленнику с «привилегированным сетевым положением» перехватывать данные, защищенные SSL/TLS.
Обновление 15:11 PT: В заявлении, сделанном изданию iMore, представитель Apple сообщил, что компания работает над устранением этой проблемы.
«Мы осведомлены об этой проблеме», — сказала представительница Apple изданию iMore, — «и работаем над ее устранением, которое мы предоставим в будущем обновлении программного обеспечения».
