iPhone OS 3.0 possui falha de segurança capaz de expor via Spotlight emails removidos do aparelho

Quando você apaga permanentemente uma mensagem de email do seu iPhone/iPod touch com o firmware 3.0, ela ainda pode ser obtida através do Spotlight, conforme prova uma falha de segurança descoberta por um leitor do Cult of Mac. Isso pode expor informações confidenciais de certos usuários a quem se apossar de um aparelho por algum motivo, querendo checar algo rapidamente pela busca.

[youtube]http://www.youtube.com/watch?v=cKiWS_4Z51w[/youtube]

O vídeo acima mostra na íntegra o procedimento para se chegar ao bug. Após excluir um email permanentemente — isto é, esvaziando a lixeira —, ele ainda pode ser obtido pelo Spotlight em duas cópias aparentemente iguais. Ao abrir o primeiro em ordem cronológica, o Mail trava, e numa segunda tentativa o aparelho consegue abri-lo, porém com um alerta dizendo que a mensagem não está devidamente formatada para visualização.

Voltando ao Spotlight a executando o mesmo procedimento com a segunda mensagem, o conteúdo é exibido como se nunca tivesse sido apagado do aparelho. A barra de menus mostra o estado da lixeira erroneamente, dizendo que a mensagem em questão “é a primeira de 0”.

Os testes foram feitos até o momento em contas POP — usadas normalmente por provedores de serviços de internet —, mas o bug aparenta afetar clientes IMAP da mesma maneira, incluindo MobileMe, Gmail e contas Microsoft Exchange, que podem expor dados ainda mais sigilosos a outras pessoas, caso sejam de corporações. Como a Apple não comenta falhas de segurança até que tenha feito a sua análise e correção próprias, o jeito é esperar por um update de firmware que corrija esta.

Posts relacionados

Comentários