Bug iOS, scoperta falla di sicurezza su allegati posta: fix in arrivo

06 Maggio 2014 25

Un ricercatore esperto su protocolli di sicurezza in ambito software, ha scoperto una nuova falla riguardante la posta elettronica di iOS che potrebbe consentire a malintenzionati di entrare a contatto con documentazioni private e dati sensibili presenti come allegati nelle mail e scaricati sul dispositivo.

Andreas Kurtz sostiene che dalla prima versione di iOS 7, fino all'ultima distribuzione iOS 7.1.1, la memorizzazione degli allegati di posta elettronica su iOS è in chiaro e non offre nessuna crittografia. Ciò rende i documenti conservati facilmente leggibili grazie ad alcuni software che consentono di sfogliare la cartella mail di un account IMAP con grande semplicità.


Ho chiuso il dispositivo ed effettuato l'accesso al file system utilizzando tecniche ben note (in modalità DFU, ramdisk personalizzata, SSH su usbmux). Infine, ho montato la partizione dati iOS e navigato per la cartella di posta elettronica reale. All'interno di questa cartella, ho trovato tutti gli allegati accessibile senza alcuna cifratura / restrizione.

Secondo Kurtz, Apple è presumibilmente a conoscenza di questo problema e sta lavorando ad un fix. L'azienda non ha parlato mai di tempistiche, ma trattandosi di un argomento cruciale per molte realtà imprenditoriali che fanno largo uso di dispositivi basati su iOS, non dovrebbe passare molto tempo.


25

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Paolo

Sicurezza assoluta solo nella tua testa.. e che di certo non c'è mai!.punto primo.. fosse anche solo per 10000 user che non usano il codice di sblocco il bug c'è e questo è un dato di fatto sfruttabile o meno è un altro discorso...
E' di poche ore fa un altra news di un bug che colpirebbe Siri e che consentirebbe di bypassare la schermata di blocco, accedere alla rubrica e chiamare i contatti salvati quindi smettila di fare il paladino del nulla Ios e apple producono hw/sw che come tutti quanti non è esente da errori etc e di certo nessuna Sicurezza Assoluta.. Poi se vuoi convincerti di questo perchè hai speso bei soldini per il tuo device.. contento tu.. ma ancora oggi e basta una ricerca nei blog più in voga di bug ios se ne porta dietro.. Sii cooerente prima di essere un funboy..

carlocarlo

quindi è software non hardware!

carlocarlo

quindi non è hardware ma è software ;)

Mr.Matto

così lo vendono alle aziende, o almeno così millantavano per far abbandonare Blackberry. E forse è vero perché su Android per crittografare i dati devi fare un'operazione molto più lunga e che rallenta il dispositivo.
Tuttavia, secondo alcuni test, se c'è un pin ci vogliono 1-2 h di "stregoneria" per violare il sistema, se hai una password seria 10 anni.

Callea

Beh quello è un problema software.
Quello che volevo sottolineare è che col dispositivo bloccato la sicurezza è assoluta e un eventuale ladro che avesse fisicamente accesso all'iPhone non potrebbe fare nulla.

Quindi il problema degli attachment non criptati non sussiste di fatto.

Perché ricordiamolo, quando un'email viene inviata, viene inviata in chiaro e passa per chissà quanti server senza alcuna sicurezza.

Il problema paventato riguardava solo il file all'interno del dispositivo in caso nel caso in cui qualcuno non autorizzato avesse fisicamente in mano l'iphone e possa accedendo al file system leggere in chiaro tutti gli allegati.

Ma appunto non potrebbe fare nulla senza la password di blocco.

Pietro Sammarco

Hai ragione, c'è poco da discutere. Comunque il chip criptografico che dici è in fatti una feature della cpu, che viene utilizzata lato sw da OpenSSL, che oddio, non è che sia poi così sicuro :).

Callea

Ma smettila stai facendo una pessima figura.

Il chip criptografico c'è dal 2009 dal 3Gs in poi.
Era tra la memoria e la Cpu, ora è direttamente implementato all'interno della Cpu e gestisce sia la criptografia di tutto il file system sia il Touch Id.

Il pin o la password servono a sbloccare la chiave criptografica hardware di cui è dotato ogni iphone.

Callea

Se non hai voglia di leggere il documento non ci posso fare nulla.

carlocarlo

se parli di pin o password non stai parlando di lato software!
gli iphone non hanno un processore crittografico dedicato, e anche se lo avesse non servirebbe a gestire un pin o una password.

Giuseppe

Ios bug 7.1 colpisce ancora....

Mr.Matto

c'è un processore crittografico dedicato, come anche sui Mac con Intel iX. Se poi metti un pin da 4 digits o una password come "ciao", non serve a granché.

carlocarlo

ti ripeto, nel tuo documento pregiato mi puoi dire quale componente hardware si occupa della crittografia?

SoUlSnAkE

ios ha bug??? STRANO...XD

Callea

Se due mesi fa era al 20 ora come minimo sarà il 30 (basta seguire il trend del grafico molto costante).
Ma prendendo per buone le percentuali di due mesi fa abbiamo:
iPhone 5 al 32%
iPhone 4S al 23%
iPhone 5S al 20%
IPhone 3Gs/3G/2G 19%
iPhone 5C al 6%

Ora probabilmente avrà già superato il 4s e forse anche il 5.
La mole di vendite del 5S è superiore a qualsiasi altro iPhone.
Parlare di "percentuali minime" è totalmente errato.

Ma in ogni caso non c'entra nulla, il livello di sicurezza dal 4 al 5S è identico, la crittografia è la stessa cambia solo la comodità del Touch Id e chi ha bisogna di tanta sicurezza magari perché utente business avrà comunque lo strumento più adatto.

Davide Nobili

Lo so benissimo, ma in ogni caso stai confermando quello che ha detto l'utente @Matteo85_b, ovvero che i 5S sono una minima parte degli iPhone in circolazione.
Sicuramente crescerà, ma al momento è così.

Callea

C'è un bel documento redatto da Apple che si chiama "Ios Security White Paper" che spiega in dettaglio a livello hardware/software come funziona la sicurezza in Ios, aggiornato al 5S.

Se uno prima di scrivere si informasse e soprattutto connettesse il cervello eviterebbe di fare figure di m....

Callea

Fare il 20% in 5 mesi (marzo 2014) di tutti gli iPhone in circolazione venduti da 7 anni a questa parte è un risultato straordinario.
N.B. non sto parlando di percentuali di vendita ma di share circolante.
(Vedi grafico, la riga gialla è il 5S, al primo posto c'è il 5 e al secondo il 4s, a marzo 2014)

Davide Nobili

Quindi stai dicendo che l'80% non sono iP5S, non mi sembra una percentuale da poco...

Andreoid

l'ENNESIMO BUG per iBUGos 7. Una tragedia

carlocarlo

crittografia hardware 256 bit AES

BAHABAUHBAUHBAU

quale sarebbe il componente hardware dedicato a questo?

Callea

Se non mettono il codice o ne mettono uno semplice è un loro problema non certo del sistema di sicurezza.

Riguardo la diffusione mondiale di 5s considera che già i primi di marzo (ben due mesi fa) aveva uno share del 20% su tutti gli iPhone in circolazione, al momento è il secondo iPhone più diffuso dopo il 5 e nei prossimi mesi ci sarà il sorpasso.

Matteo85_b

Sempre pronto a trovare una buona scusa...
Su 5 amici con iphone, 4 non hanno il codice 1 l' impronta digitale peccato che associata all' impronta abbia messo una password semplice da indovinare...
I 5s sono una minima percentuale degli iphone in circolazione...

Callea

Con IOS7 e soprattutto con il 5S lo hanno praticamente tutti.

E soprattutto chi ha dati sensibili da gestire conosce sicuramente certe tematiche.

Gli iPhone hanno la crittografia hardware 256 bit AES dal 3Gs in poi e questo permette di avere la massima sicurezza di tutti i dati col minimo sforzo.

The Dark Master

Probabilmente, anzi -SICURAMENTE-, il 90% degli utonti Apple non sa cosa sia il codice di blocco.

Callea

Il problema non sussiste se avete il codice di blocco (che con il 5S hanno praticamente tutti).

Con il codice di blocco TUTTO il filesystem dell'iPhone è già criptato a livello hardware dal 3Gs in poi (AES 256 bit), compresi gli attachment delle email.

Ergo non avendo il codice o l’impronta è comunque impossibile accedere al filesystem e quindi all’attachment "non criptato" che è in realtà già criptato a livello hardware.

Quindi solita notizia urlata che enfatizza in modo spropositato un non problema che può riguardare solo chi non utilizza il codice di blocco.

Ma chi è quel folle che ha file sensibili tanto importanti e non utilizza il codice di blocco???

Una settimana con iPhone SE 2022: ha ancora senso? | Recensione

iPhone 13 Pro vs Galaxy S22 Ultra: cosa può imparare Samsung da Apple

Recensione Apple iPad Air 5 (2022) con M1, è una scheggia, punto | Video

Mac Studio e Studio Display ufficiali: il Mac mini cresce ed è potentissimo | Prezzi