maanantai 5. toukokuuta 2014

iOS7 vuotaa liitetiedostot salaamattomina

Applen iOS 7.x version sähköpostisovelluksesta on mahdollisesti tahallisesti poistettu aikaisemmin käytössä ollut liitetiedostojen salaustoiminto.

Kesäkuussa 2010 Apple esitteli ”data protection” -toiminnon iOS 4.0 käyttöjärjestelmälle, toiminto tarjoaa laitepohjaisen paikallisen vahvan 256-bittisen salauksen muun muassa sähköpostisovelluksen käyttöön.

Data Protection on iOS 4 versiosta lähtien seurannut uudemmissa versioissa mukana.

Nyt on kuitenkin selvinnyt että Apple on jostain syystä poistanut tuen tuoreimman käyttöjärjestelmä version sähköpostisovellukselta mutta kummallisesti vain liitetiedostojen osalta. 

Tämä mahdollistaa sen että esimerkiksi laitteen varastanut henkilö pystyy halutessaan avaamaan käyttäjän vastaanotetut liitetiedostot menemällä laitteen käyttöjärjestelmäosiolle ja sieltä menemällä yksinkertaisesti sähköpostisovelluksen datahakemistoon jossa iOS säilyttää käyttäjän tilitietoja, itse sähköpostitiedosto jossa on siis kaikki käyttäjän sähköpostit on suojattu ja sen lukeminen on estetty kun taas liitetiedostot ovat täysin luettavassa muodossa, ilman minkäänlaista salausta.

Liitetiedostot luettavissa

Liitetiedostoja, who cares?

Voisi kuvitella että ongelma ei ole kovin suuri sillä iOS:n turvatulle käyttöjärjestelmäosiolle ei ole mahdollista päästä, mutta he jotka sinne haluavat, tietävät kyllä keinot (ei loppujen lopuksi kovin kummoinen tehtävä).

Esimerkiksi yritysjohtajien, ministereiden ja muiden vastaavien henkilöiden sähköpostien salaiseksi tarkoitetut liitetiedostot saattavat olla hyvinkin haluttua tavaraa monelle taholle, joten Applen auki jättämä aukko on hyvinkin vaarallinen monelle sen tuotteita käyttävälle.

Hakkeri otti yhteyttä Appleen:

Hakkeri Andreas Kurtz, joka Applen touhut huomasi otti yhteyttä heti Applen tietoturvatiimiin ja hän sai heiltä vastauksen jossa yhtiö vastasi että he ovat tietoisia ”ongelmasta”. Tarkemmin siitä mitä Apple tulee asialle tekemään tai jättää tekemättä ei kerrottu.

Andreas Kurtz on todennut salauksen puutteen ainakin käyttöjärjestelmän 7.0.4 - 7.1.1 versioissa.

Suositus on olla käyttämättä Applen laitteita sähköpostin liitetiedostojen lataamiseen ennen kuin Applelta tulee varmistettu päivitys ongelmaan.

LÄHDE: The Hacker News