بروز یک مشکل امنیتی در ای او اس 7.0.3 به بالا

پژوهشگر امنیتی آندریاس کورتز (Andreas Kurtz) به تازگی گزارشی را در ZDNet منتشر شده است و در آن اعلام داشته که از نسخه‌ی ۷.۰.3  به بعد در آی‌اواس، قابلیتی برای رمزنگاری فایل‌های ضمیمه‌ی ایمیل‌ها وجود ندارد.

هر چند اپل می گوید که از الگوریتم‌های رمزنگاری سخت افزاری ویژه ای برای ایجاد رمز گزاری بر روی ایمیلها برای حفاظت از ضمیمه‌های ایمیل در سیستم عامل آی‌اواس استفاده می‌کند اما کورتز مدعی است این پروتوکول بر روی فایلهای پیوستی ایمیل اجرا نمی شود.

کورتز از وجود چنین حفره‌ با دسترسی به فایل‌های سیستمی آی‌اواس بر روی یک آیفون ۴ دارای آی‌ او اس نسخه‌ی ۷.۱ و ۷.۱.۱ مطلع شده است. وی با بررسی در فولدر ایمیل مربوط به یک اکانت IMAP فهمیده است که ضمیمه‌های ایمیل در این قسمت به صورت رمزنگاری‌ نشده نگهداری می‌شوند. بعد از دستیابی به این موضوع ، آن را بر روی یک آیفون ۵s و یک آیپد ۲ که دارای نسخه‌ی ۷.۰.۴ از آی‌اواس بودند نیز بررسی کرده و فهمیده که این حفره در این نسخه از آی‌ او اس نیز وجود دارد.

وی در اینباره می گوید:

برای بررسی صحت این مسئله آیفون ۴ جی‌اس‌ام خود را به آخرین نسخه‌های آی‌اواس (۷.۱ و ۷.۱.۱) ریستور کردم و یک اکانت ایمیل IMAP به نام account1 که با آن ایمیل‌های دارای ضمیمه‌ای برای تست ارسال و دریافت کرده بودم ساختم. سپس دستگاه خود را خاموش کرده و از طریق تکنیک‌های شناخته‌شده‌ی معمول (DFU mode ٬ custom ramdisk و دسترسی به SHSH از طریق usbmux) به فایل‌های سیستمی دسترسی پیدا کردم. در نهایت درایوی حاوی اطلاعات آی‌اواس را mount کرده و به فولدر مربوط به نگهداری اطلاعات ایمیل‌ها رفتم. در این فولدر مشاهده کردم که تمامی ضمیمه‌ها بدون نیاز به رمزگشایی قابل دستیابی هستند.

البته کورتز این مشکل امنیتی را به اپل گزارش داده، اپل نیز وجود این حفره‌ای را تایید کرده٬ اما هنوز زمانی برای رفع آن مشخص نکرده است. البته اپل به تازگی یک حفره‌ی بسیار مهم مربوط به تایید اتصال SSL را در هر دو سیستم عامل آی‌ او اس و او اس ایکس برطرف کرده است، ایت حفره به حمله‌ کنندگان دارای رده های ممتاز در شبکه امکان دسترسی به اطلاعات محافظت‌ شده‌ ی SSL/TLS را می‌داد. مسلما اپل به زودی برای رفع این مشکل امنتیتی نیر تمهیداتی خواهد اندیشید.