安全研究人员Andreas Kurtz在苹果操作系统的邮件加密方面发现了一个危险的漏洞。Kurtz表示向苹果反映了这个问题,但苹果没有解决这个问题。
上个月,Kurtz发现邮件中附件不受苹果保护,尽管苹果称使用了用户数据保护机制。Kurtz使用了一部搭载最新固件的iPhone4和IMAP账户证实了这个漏洞。
Kurtz表示:“我将一部iPhone4升级到最新版系统(iOS7.1和7.1.1),并设定了一个IMAP邮件账户,可以提供一些测试邮件和附件。随后,我关闭了iPhone4,使用了一些众所周知的方法访问文件系统。最终,我进入了iOS的数据分区并导航到真实的邮件文件夹。在这个文件夹中没有任何加密或限制便可直接访问。”
Kurtz甚至在运行iOS7.0.4的iPhone5s和第二代iPad上重现了这个BUG。虽然Kurtz将该问题反馈给苹果,但苹果在上周发布的iOS7.1.1中并没有解决这个问题。
Kurtz表示:“我将发现告知了苹果,但苹果没有给出解决该问题的时间,考虑到iOS7已发布这么久,众多企业在设备上分享的敏感性的邮件附件,我希望苹果可以短期内解决这个问题;不幸的是,iOS7.1.1也没解决这个问题。”
安全专家也给出了一个解决方法,“关心该问题的用户可以关闭邮件同步功能(至少是在那些bootrom会被利用的设备上)”。