Sicurezza iOS: app Mail non criptata e Apple lo sa

Apple riconosce l'esistenza di una falla di sicurezza in iOS 7 a causa della quale gli allegati delle e-mail non vengono più crittati. Ancora nessuna soluzione viene proposta da Cupertino.

L'esperto di sicurezza informatica Andreas Kurtz ha notato sul suo iPhone 4 che gli allegati delle e-mail scritte con MobileMail.app sotto iOS 7 (l'applicazione delle Mail di iOS) non sono protette dai soliti meccanismi di criptaggio dei dati di Apple. Kurtz ha pubblicato questi risultati sul suo blog già qualche tempo fa, prima che la notizia venisse ripresa da ZNet, riportando che il problema di sicurezza esiste almeno da iOS 7.0.4 ed include la versione attuale 7.1.1.

Da parte sua, Apple afferma nella Knowledge Base, che ai dati degli allegati viene applicata uno strato di protezione addizionale, quando quest'opzione non viene di fatto applicata nella realtà:

La protezione dei dati è disponibile per i dispositivi che consentono la crittografia hardware, inclusi gli iPhone 3GS e versioni più recenti, tutti i modelli di iPad e iPod touch (3a generazione e versioni più recenti). La protezione dei dati ottimizza la crittografia hardware integrata proteggendo le chiavi di crittografia hardware tramite un codice. In questo modo, gli allegati dei messaggi email e le app di terze parti disporranno di un livello più elevato di protezione.

Kurtz ha riscontrato il bug creando un account e-mail IMAP e poi mandando messaggi con allegati. Ha in seguito spento il dispositivo ed accesso ai file contenenti i messaggi con alcuni programmi reperibili in Rete per vedere in chiaro il contenuto di questi file (com'è evidente nella foto riprodotta qui sotto). Inaspettatamente il contenuto degli allegati era in chiaro, quando avrebbe dovuto apparire crittato. Dopo aver eseguito il testo con un iPhone 4 con su iOS 7.1.1, Kurtz ha riscontrato lo stesso evidente problema di sicurezza su un iPhone 5s e un iPad 2 con iOS 7.0.4.

Allegato e-mail non tritato sotto iOS 7

Kurtz ha contattato Apple, chiedendo lumi sulla materia. Da Cupertino è arrivata solo la conferma dell'esistenza della falla di sicurezza: Apple riconosce quindi il problema, ma non dà nessuna notizia su quando verrà risolto. Nell'attesa di un patch, ricordiamo che questa non è la prima falla di sicurezza che Apple ha dovuto affrontare quest'anno con iOS; nel febbraio scorso, Apple era corsa ai ripari pubblicando un aggiornamento del sistema operativo per risolvere un bug con SSL/TLS che implicava una possibile vulnerabilità dei dati sensibili (numero della carta di credito, e-mail, ecc...).

    Non dimenticate di scaricare la Blogo App, per essere sempre aggiornati sui nostri contenuti. E’ disponibile su App Store e su Google Play ed è gratuita.
  • shares
  • Mail