Video: Mở Hộp IPhone 8 Plus | Trải Nghiệm Game Liên Quân - PUBG - CF Mobile - Asphalt 8 Cùng Mạnh CFM (Tháng mười một 2024)
Mặc dù sự thật là các tệp đính kèm email không được mã hóa trên phiên bản iOS 7 mới nhất, nhưng mức độ nghiêm trọng của lỗ hổng dường như không gây hại như báo cáo ban đầu.
Nhà nghiên cứu bảo mật Andreas Kurtz đã phát hiện ra rằng các tệp đính kèm thư được mở trong ứng dụng Mobile Mail đi kèm trên thiết bị iOS 7 không được mã hóa, mặc dù Apple tuyên bố các tệp được bảo mật bằng công nghệ Bảo vệ dữ liệu của mình. Các phiên bản bị ảnh hưởng bao gồm iOS 7.0.4 và iOS 7.1, cũng như iOS 7.1.1 mới nhất, Kurtz đã viết trên blog của mình. Ông đã xác minh sự cố trên iPhone 4, iPad2 và iPhone 5s.
"Tôi nhận thấy rằng các tệp đính kèm email trong MobileMail.app của iOS 7 không được bảo vệ bởi các cơ chế bảo vệ dữ liệu của Apple", Kurtz, một nhà nghiên cứu của NESO Labs viết.
Andrey Belenko, một nhà nghiên cứu tại viaForensics đã xác nhận lỗ hổng này, nhưng lưu ý rằng trong khi một số tệp đính kèm không được mã hóa, các tệp thư khác có một số hình thức bảo vệ dữ liệu. Cửa hàng Tin nhắn chính đã bật Bảo vệ Dữ liệu, nhưng các yếu tố thư khác, chẳng hạn như Chỉ số Phong bì và Gần đây, không tìm thấy, thông qua Tìm kiếm thông tin.
"Lỗ hổng đã được quan sát nhưng không ảnh hưởng đến toàn cầu tất cả các tệp đính kèm email", viaForensics lưu ý trong một bài đăng trên blog.
Một lỗ hổng, nhưng nặng đến mức nào?
Việc các tệp đính kèm không được mã hóa trên iOS có thể giương cờ đỏ cho các tập đoàn và chính phủ có thể có nhân viên truy cập dữ liệu liên quan đến công việc trên thiết bị di động của họ. Các doanh nghiệp nên rời khỏi iPhone 4 để tận dụng "bảo mật cao hơn được thực hiện trong iPhone 4s và chuyển tiếp", viaForensics cho biết. Đối với người tiêu dùng, tầm quan trọng của vấn đề tập trung vào việc kẻ trộm có muốn đọc tệp đính kèm email từ điện thoại bị đánh cắp hay không.
Tuy nhiên, lưu ý rằng lỗ hổng không thể được kích hoạt từ xa và kẻ tấn công phải có quyền truy cập vật lý vào thiết bị iOS để truy cập các tệp không được mã hóa. Kẻ tấn công cũng phải biết về mật mã hoặc tìm ra mật mã của thiết bị để vượt qua khóa. Tùy chọn khác là sử dụng kỹ thuật bẻ khóa hoạt động mà không cần mật mã để tiếp cận hệ thống tệp. Mặc dù có các công cụ để bẻ khóa iPhone 4 và các thiết bị cầm tay cũ hơn mà không cần mật mã, nhưng hiện tại không có bất kỳ bản bẻ khóa nào cho các thiết bị mới hơn như iPhone 5s và iPad có thể bỏ qua mật mã.
Đó là rất nhiều rào cản khiến những kẻ tấn công tránh xa các tập tin. Những điều cơ bản vẫn áp dụng trên mạng sử dụng mật mã trên điện thoại của bạn. Không có lý do tại sao bạn nên làm cho kẻ trộm dễ dàng lấy điện thoại của bạn và truy cập vào bất kỳ dữ liệu nào của bạn.
Sửa chữa trên đường
Trong khi Kurtz thông báo cho Apple về vấn đề này, công ty nói với anh rằng họ đã biết về vấn đề này và đang tiến hành khắc phục, sẽ được gửi dưới dạng "bản cập nhật phần mềm trong tương lai". Không có dòng thời gian đã được đưa ra.
"Xem xét iOS 7 có sẵn từ lâu và độ nhạy của các tệp đính kèm email mà nhiều doanh nghiệp chia sẻ trên thiết bị của họ (về cơ bản là bảo vệ dữ liệu), tôi mong đợi một bản vá ngắn hạn", Kurtz viết, lưu ý rằng vấn đề vẫn chưa xảy ra đã sửa trong iOS 7.1.1, được phát hành vào tháng trước.
"Giống như Kurtz, chúng tôi rất ngạc nhiên khi nó không được vá trong 7.1.1", viaForensics đồng ý, nhưng cho biết có khả năng đã có một bản sửa lỗi.