更新：Subhransu Behera氏は当初の仮説を撤回しました。

HackerNewsにこれを投稿した後、一部の開発者/ユーザーは私の仮説が間違っていると感じており、ユーザーの携帯電話やロックされたデバイスに物理的にアクセスしなければ、以下の手順を繰り返すことはできないと主張しています。私も同感です。また、どのiOSバージョンでこれが安全なのかも確認する必要があります。私の記憶では、以前のバージョンのiOSでは間違いなく実行可能だったからです。しかし、当初の問題は依然として変わりません。これらのファイルは暗号化されておらず、保護もされていないため、携帯電話にアクセスできる人物がメールの内容全体をコピーできる可能性があります。

ファイル保護APIだけでは、ロック解除された携帯電話のデータ保護には不十分です。そのためには、ドキュメントやファイルを鍵で暗号化し、その鍵を安全な場所に保管する必要があるかもしれません。

いくつかコンセプトアプリを作って試しています。お楽しみに…

アプリ開発者の Subhransu Behera 氏は、人気の iOS メールボックス アプリでは、電話にアクセスできる人なら誰でもメールの連絡先、コンテンツ、添付ファイルを抽出できることを発見し、「セキュリティ上の欠陥」であると述べています。

私はiOSアプリと開発者が大好きです。そして、大好きなアプリこそが、より良いコードを書くモチベーションになっています。しかし、Mailboxは例外です。このアプリのUXは気に入っていますが、データ保護のアプローチの方が気に入らないのです。実際、データ保護機能は全くありません。

ベヘラ氏は、iOS デバイスとコンピューター間で音楽、映画、プレイリストを転送できるように設計されたツールである iExplorer を使用しました。

しかし、それだけではありません。デバイス上のアプリケーションのドキュメントディレクトリとライブラリディレクトリにもアクセスできるのです。これらはiOS開発者がデータベース、plistファイル、その他のリソースファイルを保存する際によく使われる場所で、デバイスが盗難に遭った場合、システムに抽出される可能性があります。デバイスを脱獄する必要はありません。つまり、誰かがあなたのスマートフォンを手に入れれば、データが保護されていないアプリのファイルにアクセスできてしまうのです。

Behera 氏は、iOS SDK は開発者にデータ保護に使用できるツールを提供しているため、Mailbox がそれを利用していないことに驚いていると述べています。

一般ユーザーは、攻撃者がデータを抽出するにはロック解除された携帯電話に物理的にアクセスする必要があるため、それほど心配する必要はないかもしれません。ロック画面のセキュリティ問題はありましたが、それらは修正され、いずれにしても携帯電話へのアクセスは極めて限定的になりました。しかし、機密性の高いメールの保存に携帯電話を使用しているユーザーは、それらのメールアカウント用のアプリを使用しないという慎重なアプローチを取ることをお勧めします。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。