Ο ερευνητής ασφαλείας Andreas Kurtz ανακάλυψε ένα πολύ επικίνδυνο ελάττωμα στο κινητό λειτουργικό σύστημα ( iOS ) της Apple. Η ευπάθεια έχει να κάνει με την κρυπτογράφηση του ηλεκτρονικού ταχυδρομείου. Ο Kurtz αναφέρει ότι η Apple γνωρίζει τα συμπεράσματά του, αφού την ενημέρωσε άμεσα, αλλά η εταιρεία δεν διόρθωσε το πρόβλημα.
Κάποια στιγμή τον περασμένο μήνα, ο Kurtz παρατήρησε ότι τα συνημμένα του ηλεκτρονικού ταχυδρομείου μέσα στην εφαρμογή Mail της εταιρείας δεν προστατεύονται από την Apple. Η εταιρεία δηλώνει ότι χρησιμοποιεί όλους τους απαραίτητους μηχανισμούς ασφαλείας για την προστασία των δεδομένων. Ο Kurtz επιβεβαίωσε την ευπάθεια χρησιμοποιώντας ένα iPhone 4 με το τελευταίο firmware και ένα λογαριασμό IMAP.
Ο Kurtz αναφέρει, “επαλήθευσα αυτό το θέμα με μια συσκευή iPhone 4 (GSM) ενημερωμένη με τη πιο πρόσφατη εκδόσεις του iOS (την 7.1 και την 7.1.1). Δημιούργησα έναν λογαριασμό email IMAP, για να πραγματοποιήσω δοκιμές σε emails και συνημμένα.”
“Στη συνέχεια, έκλεισα τη συσκευή και κατάφερα να έχω πρόσβαση στο σύστημα αρχείων, χρησιμοποιώντας τις γνωστές τεχνικές DFU mode, custom ramdisk, SSH over usbmux. Τέλος, έκανα mount το διαμέρισμα δεδομένων του iOS και περιηγήθηκα στο πραγματικό φάκελο του ηλεκτρονικού ταχυδρομείου της συσκευής. Μέσα από αυτό το φάκελο, είχα προσβάσιμα σε όλα τα περιεχόμενα που δεν είχαν καμία κρυπτογράφηση ή κάποιο περιορισμό.”
Ο hacker ήταν σε θέση να παραβιάσει και την τελευταία έκδοση του iPhone, καθώς και τη δεύτερη γενιά iPad, που έτρεχε iOS 7.0.4. Παρά τις προειδοποιήσεις του προς την Apple, η εταιρεία από το Cupertino δεν διόρθωσε το σφάλμα με τη κυκλοφορία του iOS 7.1.1. Ο Kurtz μάλιστα, ισχυρίζεται ότι η εταιρεία γνώριζε το σφάλμα πριν αυτός τους το γνωστοποιήσει.
“Ανέφερα το σφάλμα στην Apple,” αναφέρει ο Kurtz. “Αυτοί απάντησαν ότι το γνώριζαν, αλλά δεν ανέφεραν πότε θα το επιδιορθώσουν. Λαμβάνοντας υπόψη το μεγάλο χρονικό διάστημα που είναι διαθέσιμο το iOS 7 και την σοβαρότητα της ευπάθειας των συνημμένων του ηλεκτρονικού ταχυδρομείου, περίμενα ένα patch πολύ γρήγορα. Δυστυχώς, ακόμη και σήμερα με το iOS 7.1.1 δεν διορθωθεί το θέμα, αφήνοντας τους χρήστες σε κίνδυνο.”
Ο ειδικός σε θέματα ασφαλείας προσφέρει μια λύση για τους χρήστες που ανησυχούν ότι τα δεδομένα τους μπορεί να καταλήξουν σε λάθος χέρια:
“Σαν προσωρινή λύση, οι ενδιαφερόμενοι χρήστες μπορούν να απενεργοποιήσουν το συγχρονισμό του mail (τουλάχιστον στις συσκευές που η bootrom μπορεί να εκμεταλλευτεί και το επιτρέπει),” αναφέρει ο Kurtz.
