更新：開発者は、Mailbox iPhoneアプリには「データ保護機能がない」と主張

更新。この記事の公開後、ベヘラ氏は自身の仮説を更新し、Business Insiderが最近それを再現しました。

ベヘラ氏は自身の投稿を更新し、「HackerNewsにこれを投稿した後、一部の開発者/ユーザーは私の仮説が間違っていると感じており、ユーザーの携帯電話やロックされたデバイスに物理的にアクセスしなければ、以下の手順を繰り返すことはできないとしています。私もこれに同意します。」と付け加えました。要するに、これはバグや欠陥などではないということです。誰かがあなたの携帯電話を物理的に所有していれば、いずれにせよこの情報にアクセスできるはずです。

元の記事は以下をお読みください。MailboxはiPhone向けの魅力的で人気のメールアプリで、2月に好意的なレビューを掲載しました。しかし、Mailboxはデザインとユーザーインターフェースは優れているものの、データ保護とセキュリティに関しては改善の余地があるようです。実際、ある開発者によると、Mailboxは事実上 「データ保護がない」という意見は、Subhransu Behera氏のもので、Mailboxを「セキュリティ上の欠陥」と評しています。デスクトップコンピュータでiOSアプリケーションのドキュメントディレクトリとライブラリディレクトリを表示できるシンプルなiExplorerアプリを使って、Behera氏はDocumentsディレクトリにある保護されていないメール添付ファイルのファイルを開くことに成功しました。このフォルダ内にBehera氏はさらに別のファイルを発見し、ユーザーのメール連絡先やメールの内容などを開いて閲覧することが可能でした。上記の方法でMailboxのコンテンツを検索するために、iPhoneやiPod touch自体をジェイルブレイクする必要はなく、USB接続でアプリを操作することも可能です。もちろん、人によって反応は異なるでしょう。侵入者はiPhoneやiPod touchをiExplorerに接続するために実際に物理的にアクセスする必要があるため、このケースを問題視しない人もいるかもしれません。結局のところ、ロック解除されたiPhone、iPad、またはiPod touchがあれば、iDeviceをコンピュータに接続することなく、メールアプリ、ひいてはユーザーのメールサーバーを検索できるようになります。これらすべて、そしてそれ以上のことがデバイス自体から直接実行できるため、事前にパスコードロックを設定していなかった所有者の責任となります。しかし、Behera氏が指摘するように、AppleのiOS SDKはiPhone、iPad、iPod touchアプリケーションでそのような機密情報を暗号化することを可能にし、Mailboxの開発者はアプリをダウンロード可能にする前にユーザーの個人情報が安全であることを保証するための対策を講じるべきでした。これはWWDC 2012のセッション番号714で取り上げられたテーマであり、Behera氏はこの点に注目しています。上記に関する詳細については、Subhransu Behera氏のブログをご覧ください。Mailboxのセキュリティ上の欠陥が詳細に説明されています。あるいは、iOS セキュリティに関する詳細については、「Apple が iMessage DoS 攻撃という形で新たなセキュリティ問題に直面」、「Apple がついに iOS App Store のセキュリティ脆弱性を修正」、「iPad とこれらのアプリでより安全に」を参照してください。

無料

メールボックス

オーケストラ株式会社