iPhone、iPod touch、iPad で、契約書、請求書、銀行取引明細書などの機密文書の添付ファイルにアクセスしますか?
そうであれば、iOS はメールの添付ファイルを平文、つまり暗号化されていない形式で保存するため、ソフトウェアを使用してユーザーのデバイス上のメール フォルダーから IMAP アカウントを閲覧し、保存された添付ファイルを簡単に読み取ることができるため、セキュリティとプライバシーが侵害される可能性があります。
このセキュリティ上の欠陥を発見したと主張する研究者は、iOS 7.0.4以降(最新のiOS 7.1.1を含む)ではメールの添付ファイルが暗号化されないことを発見しました…
ZDNet は、セキュリティ研究者の Andreas Kurtz 氏の言葉を引用し、iOS 7、iOS 7.0.4、iOS 7.1、さらに最新の iOS 7.1.1 でさえメッセージの添付ファイルを暗号化していないと主張しているが、この Apple のサポート ドキュメントでは、iOS は 「電子メール メッセージの添付ファイルとサードパーティ アプリケーションに対して追加の保護層を提供する」と述べられている。
カーツ氏は、GSM iPhone 4 を iOS 7.1.1 に復元し、IMAP 電子メール アカウントの添付ファイルのセキュリティをテストすることで、この問題を確認することができました。
デバイスをシャットダウンし、よく知られた手法(DFUモード、カスタムRAMディスク、USBMUX経由のSSH)を使用してファイルシステムにアクセスしました。最後に、iOSデータパーティションをマウントし、実際のメールフォルダに移動しました。このフォルダ内では、すべての添付ファイルが暗号化や制限なしでアクセス可能でした。
驚いたことに、iOS 7のAppleのデータ保護技術はメールの添付ファイルには適用されないことが判明しました。 また、iOS 7.0.4を搭載したiPad 2とiPhone 5sでもこの厄介なバグの存在を確認しました。
研究者によると、Appleはこの問題を認識しており、修正に取り組んでいるとのことだ。同社は修正がいつ完了するかについては明言していないが、iOSデバイスを利用する企業にとって添付ファイルの暗号化は不可欠であるため、それほど時間はかからないだろう。
この発見に驚きましたか?
また、メッセージの添付ファイルのセキュリティについては気にしていますか?
