iOS 7のメールアプリで添付ファイルが非暗号化状態で保存されているという問題 27
ストーリー by hylom
脱獄者は特に注意しましょう 部門より
脱獄者は特に注意しましょう 部門より
あるAnonymous Coward 曰く、
iOS 7.1.1/7.1/7.0.4の標準メールアプリで、本来暗号化などで保護されるべきメールやその添付ファイルが非暗号化状態で保存されているという問題が発覚したという(CNET Japan)。
これは仕様ではなく、本来はメールやその添付ファイルは「データ保護機能」で保護されているという。Appleはこの問題について認識しているそうだが、修正がいつ行われるかは不明だそうだ。
ただ、外部からメールや添付ファイルにアクセスできるわけではない。メールや添付ファイルが不正に閲覧される可能性があるのは、悪意のある第三者がターゲットとするiPhoneの実機を手元に持ち、かつパスコードを知っている、もしくは脱獄されている、という限られた条件下でのみとのこと。
重要なことは本文に書け (スコア:2)
そういうことなんですよ
なるほどなるほど (スコア:0)
>重要なことは本文に書け
これはタイトルなのでどうでもいい事
>そういうことなんですよ
これは本文なので重要な事
という事ですね? (N/n)
「限られた条件下」以外でも発生するなら、それは最早不具合では無く「仕様」だと思う (スコア:0)
少なくとも脇の甘い恋人や配偶者とか家族のメールを覗き見する分には割りと敷居が低い気がしますがどうなんでしょうね。
居酒屋で酔っ払って半分寝てしまっているような友人なんかもねらい目ですかね。
Re:「限られた条件下」以外でも発生するなら、それは最早不具合では無く「仕様」だと思う (スコア:1)
>iPhoneの実機を手元に持ち、かつパスコードを知っている
この状態だとメールアプリで読めたり転送できちゃうので、わざわざファイルを直接読みに行くような面倒なことはしないかと。
(メールアプリをロックしている場合はその限りではない)
Re: (スコア:0)
いやー・・どうなんだろう?
むしろ「俺のメールを盗み読んでみろ!」と言われてもトライしたがらない人の方が多いと思うけど。
「脇が甘けりゃ少しくらいメールを盗み読まれても文句言えないだろ・・」って
ちょいモラルにも関わって来そうで、やっぱ避けるべき発想よ。
Re: (スコア:0)
> 少なくとも脇の甘い恋人や配偶者とか家族のメールを覗き見する分
そんな関係で読まれて困るものがあるって方が問題。
もっとも、そんなところに読まれて困るものを置くなって、、。
と言う事がばれても困るので、AC
もうあるかな (スコア:0)
接続されたiPhoneのデータをPC側で吸い出すケースはいいのかな。
標準アプリだとフォルダが決まりそうだし、「iPhone用お得ツール」(仮)で何でもできそうな。
でもそれだと、メールに限ったことじゃないか。
Re:もうあるかな (スコア:2)
これはまさにそういう場合ですよ。PCから吸い出すと読めてしまうというお話。バグがなければパスコード(ロック画面のパスワード)がない限り読めないはずだった、と。
メールは暗号化すべきデータ? (スコア:0)
メールやその添付ファイルを暗号化されていないといって指摘するのなら、
他のあらゆるデータについても、暗号化されていないものについては同じ指摘をしなければならないのでは。
Re:メールは暗号化すべきデータ? (スコア:3)
この件はAppleがこれで暗号化されますよというアナウンス [apple.com]があるにもかかわらずされていないという点です。
暗号化されていないという事自体ではなく、言っている事と違うのが問題なのです。
Re: (スコア:0)
違うかな?
そのアナウンスって、ハードウェア暗号化してますよって話でしょ?
元ネタのブログではSSDをむしり取ったという話も無いし、パスコードが必要と言ってるんだから、普通にiOS起動してハードウェア暗号化は認証してるんじゃ無いの?
Re:メールは暗号化すべきデータ? (スコア:2)
DFUで読めると書いてあるので、暗号化されてなさそう。パスコードが必要というのは、iOSでは普通にPCから
ファイルを読み書きする際にパスコードが要求されるということを指してるんだと思います。
Re: (スコア:0)
メールも以前はサラのテキストで保存されている事が普通だったような。
そもそも、サーバー上ではテキストで保存されているから機密情報、重要情報はメールで送るな(送る場合は自分で責任を持って暗号化すること)と言うのが常識じゃなかったっけ?
Re: (スコア:0)
いつの間にクレジットカードの番号やパスワードを平気でメールで送れる時代になったんだよと思った
Re: (スコア:0)
だからさ、問題はそこじゃないでしょ。
暗号化せずに保存します。とアナウンスしてたんなら問題ない。
「こうすれば暗号化して保存します。ipohone盗まれても読めません」とアナウンスしといて、
その手順通りにしても暗号化してなかったのが、問題なんであって。
「simejiやbaiduが送信しないに設定してもデータ送信してた」
とか
「LGのテレビがデータ送信しない設定でもHDD全部送信してた」
とか
と本質的には同じ話ですよ。
Re: (スコア:0)
>「こうすれば暗号化して保存します。ipohone盗まれても読めません」とアナウンスしといて、
> その手順通りにしても暗号化してなかったのが、問題なんであって。
あのブログから、暗号化されてないと何故分かるんだろうな。
パスコードも使ってるのに...
Re: (スコア:0)
添付ファイルについては、PC上で元々暗号化してないファイルを送った場合という前提の話だろうから、そっちはいいのか?という話になっちゃうな。
リンゴ情報収取中とうことだな (スコア:0)
情報収集が終わり必要なデータ蓄積が行われた後で
暗号化されるのだろう。
以前のデータ収集もそんな感じだったしね
ああ (スコア:0)
受信したメールの話か。
それならそうと書いてくれればいいのに(何
Re:この警告で誰が得をするか? (スコア:2)
端末が盗難にあった時に添付ファイルが暗号化されていないため読み出されてしまうのですから、正しい指摘です。
他のファイルは(Appleの説明する限りでは)暗号化されているので、パスコードがわからなければ読み出されても意味を成しません。
Re:この警告で誰が得をするか? (スコア:1)
今回の一件はまっとうな指摘だと思います。
例えば、脆弱性の1種類として「権限昇格」の脆弱性がありますが、
それを公開したとして「そもそもどうやって侵入するんだよ」とか
「悪意あるユーザが内部に居ること、もしくは侵入を前提とするなら、他に気をつけることがあるだろ」
という指摘は普通入りません。
Re: (スコア:0)
Appleの主張を鵜呑みにして、この条件下でも安全だと思っていた人は助かるんじゃないですかね
Re: (スコア:0)
だから、こういう脆弱性を指摘するなとでも?
「セキュリティの専門家としてのプロ性」も何も、それで飯食ってるんだから名声を得るため(と想定しているようですが)の行動を他者が非難するのは筋違いでしょう。
なにより、利用者は「メールの添付ファイルは暗号化されていて安全」というAppleの主張を信じているのに、それが嘘だった事を知る事が出来、対策を取るべきか判断が出来るのですから、指摘してもらったほうが遥かにマシです。
Re: (スコア:0)
PCのメールクライアントでは、受信したメールのデータなんか暗号化しているものは少ないので、暗号化されていないこと自体は脆弱性じゃないでしょう。
しかし、Appleは暗号化する(している?)と説明していながらやっていなかったというオチなので、これは脆弱性として認められると思います。
ただ、この研究者が報告するまでもなく、Appleは事実を認定していたと思いますよ。
すなわち、嘘をついている意識はあったけど、脱獄しない限りは気づかないだろうと考えてた。
Re: (スコア:0)
>ただ、この研究者が報告するまでもなく、Appleは事実を認定していたと思いますよ。
誰かに公表されれば、でしょ?
だとしてもわざわざ書く意味が分からないのだけど