Actualizaciones de iOS 7 dejan sin cifrar los archivos adjuntos de correo

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+1Share on Facebook0Share on LinkedIn0

Un fallo en iOS 7 produce que los archivos adjuntos en correos electrónicos enviados desde los terminales de Apple queden sin cifrar. Por el momento, la compañía no ha anunciado ningún parche.

La falla fue detectada por el investigador alemán Andreas Kurtz, perteneciente a la firma NESO Security Labs, quien cuenta personalmente la investigación en su blog. Mientras restauraba un iPhone 4 con iOS 7.1, creó la cuenta de correo IMAP y accedió a los archivos adjuntos, y se encontró con que cada uno de ellos era completamente accesible, ya que no utilizaban ningún tipo de cifrado o restricción.

Según relata Kurtz, luego de realizar la restauración y crear la cuenta de correo IMAP, apagó el dispositivo para poder acceder al sistema de archivos mediante técnicas como DFU (Device Firmware Update). Luego, montó la partición de datos del dispositivo, para poder navegar por la carpeta real de correos electrónicos, donde encontró todos los archivos adjuntos sin ningún tipo de cifrado; para corroborar que la protección de datos estaba habilitada, intento acceder al archivo index que teóricamente debería estar protegido. Como era de esperarse, este contaba con la protección, denegando el acceso.

A pesar de esta falla, según el sitio Ubergizmo no es posible acceder a los archivos de forma remota. Para hacerlo, es necesario emplear un método físico como lo hizo Kurtz, ya que al poner el equipo en modo DFU, este no posee conexión a internet. La finalidad de este modo que poseen los dispositivos de Apple es poder hacer una actualización de sistema operativo; también permite montar el sistema de archivos del equipo, pudiendo darle al atacante permisos de superusuario (root) y habilitando la navegación dentro del mismo, hasta llegar a la carpeta mencionada por el investigador.

Nuevamente parece ser que los investigadores han descubierto fallos a nivel físico, tal como se mostró hace unos meses cuando afirmaron que es posible instalar aplicaciones maliciosas mediante un cargador modificado.


vía ESET

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 22 + 10 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos