Video: Fallo de seguridad en Mail para iOS 7 y SOLUCIÓN (Noviembre 2024)
Si bien es cierto que los archivos adjuntos de correo electrónico no están encriptados en la última versión de iOS 7, la gravedad de la falla no parece ser tan perjudicial como se informó originalmente.
El investigador de seguridad Andreas Kurtz descubrió que los archivos adjuntos de correo abiertos en la aplicación Mobile Mail incluida en dispositivos iOS 7 no están encriptados, a pesar de que Apple afirma que los archivos están protegidos con su tecnología de Protección de datos. Las versiones afectadas incluyen iOS 7.0.4 e iOS 7.1, así como el más reciente, iOS 7.1.1, escribió Kurtz en su blog. Verificó el problema en un iPhone 4, iPad2 y iPhone 5s.
"Noté que los archivos adjuntos de correo electrónico dentro de iOS 7 MobileMail.app no están protegidos por los mecanismos de protección de datos de Apple", escribió Kurtz, un investigador de NESO Labs.
Andrey Belenko, investigador de viaForensics confirmó la vulnerabilidad, pero señaló que si bien algunos archivos adjuntos no estaban encriptados, otros archivos de correo tenían algún tipo de protección de datos. El almacén principal de Mensajes tenía habilitada la Protección de datos, pero otros elementos de correo, como Envelope Index y Recientes, no lo hicieron, a través de Forensics encontrado.
"Se observó la falla, pero no afectó globalmente a todos los archivos adjuntos de correo electrónico", señaló viaForensics en una publicación de blog.
Un defecto, pero ¿qué tan grave?
El hecho de que los archivos adjuntos no estén encriptados en iOS puede generar algunas señales de alerta para corporaciones y gobiernos que pueden tener empleados que acceden a datos relacionados con el trabajo en sus dispositivos móviles. Las empresas deberían abandonar el iPhone 4 para aprovechar "la mayor seguridad implementada en el iPhone 4s y hacia adelante", dijo viaForensics. Para los consumidores, la importancia del problema se reduce a si un ladrón querría leer los archivos adjuntos de correo electrónico desde un teléfono robado.
Sin embargo, tenga en cuenta que la vulnerabilidad no se pudo activar de forma remota y que el atacante debe tener acceso físico al dispositivo iOS para acceder a los archivos no cifrados. El atacante también tiene que saber, o averiguar, el código de acceso del dispositivo para pasar el bloqueo. La otra opción es utilizar una técnica de jailbreak que funcione sin el código de acceso para llegar al sistema de archivos. Si bien hay herramientas para jailbreak iPhone 4 y teléfonos más antiguos sin un código de acceso, actualmente no hay ningún jailbreak para dispositivos más nuevos como el iPhone 5s y iPad que puedan omitir el código de acceso.
Esa es una gran cantidad de obstáculos que mantienen a los atacantes lejos de los archivos. Lo básico aún se aplica: use una contraseña en su teléfono. No hay ninguna razón por la que deba facilitar que un ladrón levante su teléfono y obtenga acceso a cualquiera de sus datos.
Fijar en el camino
Mientras Kurtz notificaba a Apple sobre el problema, la compañía le dijo que estaba al tanto del problema y que ya estaba trabajando en una solución, que se entregaría como una "actualización de software futura". No se dio línea de tiempo.
"Teniendo en cuenta el tiempo que iOS 7 ya está disponible y la sensibilidad de los archivos adjuntos de correo electrónico que muchas empresas comparten en sus dispositivos (fundamentalmente confiando en la protección de datos), esperaba un parche a corto plazo", escribió Kurtz, señalando que el problema aún no era corregido en iOS 7.1.1, lanzado el mes pasado.
"Al igual que Kurtz, estamos sorprendidos de que no haya sido parcheado en 7.1.1", acordó viaForensics, pero dijo que probablemente haya una solución en camino.
