Video: E-mail instellen op een iPhone en iPad I E-mail instructievideo (November 2024)
Hoewel het waar is dat e-mailbijlagen niet zijn gecodeerd op de nieuwste versie van iOS 7, lijkt de ernst van het probleem niet zo schadelijk te zijn als oorspronkelijk gemeld.
Beveiligingsonderzoeker Andreas Kurtz ontdekte dat e-mailbijlagen die zijn geopend in de gebundelde Mobile Mail-app op iOS 7-apparaten niet zijn gecodeerd, hoewel Apple beweert dat de bestanden zijn beveiligd met behulp van zijn gegevensbeschermingstechnologie. Betreffende versies zijn iOS 7.0.4 en iOS 7.1, evenals de meest recente, iOS 7.1.1, schreef Kurtz op zijn blog. Hij verifieerde het probleem op een iPhone 4, iPad2 en iPhone 5s.
"Ik heb gemerkt dat e-mailbijlagen binnen de iOS 7 MobileMail.app niet worden beschermd door de gegevensbeschermingsmechanismen van Apple", schreef Kurtz, een onderzoeker bij NESO Labs.
Andrey Belenko, een onderzoeker bij viaForensics bevestigde het beveiligingslek, maar merkte op dat hoewel sommige bijlagen niet gecodeerd waren, andere e-mailbestanden een vorm van gegevensbescherming hadden. In de hoofdberichtenwinkel was Gegevensbescherming ingeschakeld, maar andere e-mailelementen, zoals Envelope Index en Recents, deden dat niet via Forensics.
"De fout is geconstateerd, maar heeft niet wereldwijd gevolgen gehad voor alle e-mailbijlagen", merkte viaForensics op in een blogpost.
Een foutje, maar hoe ernstig?
Het feit dat bijlagen niet worden gecodeerd op iOS kan rode vlaggen veroorzaken voor bedrijven en overheden die mogelijk werknemers hebben die toegang hebben tot werkgerelateerde gegevens op hun mobiele apparaten. Ondernemingen moeten van de iPhone 4 afstappen om te profiteren van "de hogere beveiliging die in de iPhone 4s en hoger is geïmplementeerd", aldus ViaForensics. Voor consumenten komt het belang van het probleem neer op het feit of een dief al dan niet e-mailbijlagen van een gestolen telefoon wil lezen.
Houd er echter rekening mee dat het beveiligingslek niet op afstand kan worden geactiveerd en dat de aanvaller fysieke toegang tot het iOS-apparaat moet hebben om toegang te krijgen tot de niet-gecodeerde bestanden. De aanvaller moet ook de toegangscode van het apparaat al kennen - of erachter komen - om voorbij het slot te komen. De andere optie is om een jailbreaktechniek te gebruiken die werkt zonder de toegangscode om het bestandssysteem te bereiken. Hoewel er hulpmiddelen zijn voor het jailbreaken van iPhone 4 en oudere handsets zonder een toegangscode, zijn er momenteel geen jailbreaks voor nieuwere apparaten zoals de iPhone 5s en iPad die de toegangscode kunnen omzeilen.
Dat zijn veel wegversperringen die aanvallers weghouden van de bestanden. De basisprincipes zijn nog steeds van toepassing: gebruik een toegangscode op uw telefoon. Er is geen reden waarom u het voor een dief gemakkelijk zou moeten maken om uw telefoon op te nemen en toegang te krijgen tot al uw gegevens.
Onderweg repareren
Terwijl Kurtz Apple op de hoogte bracht van het probleem, vertelde het bedrijf hem dat het op de hoogte was van het probleem en al bezig was met een oplossing die zou worden afgeleverd als een "toekomstige software-update". Er werd geen tijdlijn gegeven.
"Gezien de lange tijd dat iOS 7 nu beschikbaar is en de gevoeligheid van e-mailbijlagen die veel bedrijven op hun apparaten delen (in wezen afhankelijk van gegevensbescherming), verwachtte ik een patch op de korte termijn", schreef Kurtz. opgelost in iOS 7.1.1, vorige maand vrijgegeven.
"Net als Kurtz zijn we verrast dat het niet is gepatcht in 7.1.1, " stemde viaForensics in, maar zei dat er waarschijnlijk een oplossing in aantocht was.
