| 24 апреля 2013 г. — 4:15 PT
Обновление: Субхрансу Бехера отозвал свою первоначальную гипотезу:
После публикации этого материала на HackerNews некоторые разработчики / пользователи считают, что моя гипотеза ошибочна, и эти шаги невозможно повторить без физического доступа к телефону пользователя или заблокированным устройствам. Я согласен с этим. Мне также нужно проверить, на какой версии iOS это безопасно. Потому что, насколько я помню, это определенно выполнимо в более ранних версиях iOS. Но первоначальная проблема остается прежней. Эти файлы не зашифрованы и не защищены, и можно скопировать все содержимое вашей почты, если у кого-то есть доступ к вашему телефону.
API защиты файлов будет недостаточно для защиты данных на разблокированных телефонах. Для этого может потребоваться шифрование документов или файлов с помощью ключа, а ключ должен храниться в безопасном месте.
Я создаю несколько концептуальных приложений, чтобы попробовать кое-что. Оставайтесь на связи…
Разработчик приложения Субхрансу Бехера назвал популярное приложение Mailbox для iOS «провалом безопасности» после обнаружения того, что оно позволяет любому, кто имеет доступ к телефону, извлекать контакты, содержимое и вложения электронной почты…
Я люблю приложения для iOS и их разработчиков. И именно приложения, которые я люблю, [что] мотивирует меня писать лучший код. Однако Mailbox — исключение. Мне нравится пользовательский интерфейс этого приложения, но мне не нравится его подход к защите данных. По сути, никакой защиты данных нет.
Бехера использовал iExplorer — инструмент, предназначенный для того, чтобы пользователи могли переносить музыку, фильмы и плейлисты между устройствами iOS и компьютерами.
Но подождите, он дает вам больше, он дает вам доступ к директориям Document и Library приложения на ваших устройствах. Это обычные места, где разработчики iOS хранят свои базы данных, файлы plist или другие ресурсные файлы, и их можно извлечь в систему, если устройство украдено. Вам не нужно взламывать устройство. Так что, если кто-то другой сможет заполучить ваш телефон, он получит доступ к файлам тех приложений, где данные не защищены.
Бехера говорит, что iOS SDK предоставляет разработчикам инструменты, которые они могут использовать для защиты данных, поэтому он удивлен, что Mailbox не использует их.
Обычные пользователи, возможно, не слишком обеспокоены, поскольку злоумышленнику все равно потребуется физический доступ к разблокированному телефону, чтобы извлечь данные. Хотя были проблемы с безопасностью экрана блокировки, они были исправлены, и в любом случае предоставляли очень ограниченный доступ к телефону. Но те, кто использует свои телефоны для конфиденциальной электронной почты, могут предпочесть осторожный подход и не использовать приложения для этих почтовых ящиков.