Después de las críticas de los usuarios al sistema de tickets para poder hacer uso de Mailbox, un desarrollador experto en seguridad ha descubierto un fallo de seguridad en Mailbox que permite acceder a los emails del usuario teniendo acceso físico al teléfono. Parece que los desarrolladores de Mailbox pusieron mucho empeño en el sistema de tickets y reservas para acceder a la aplicación y poco en la seguridad.
El fallo de seguridad descubierto permite acceder a los mensajes del usuario sin necesidad de hacer jailbreak al dispositivo. Con aplicaciones como iExplorer, que es una herramienta que permite a los usuarios transferir música, películas y listas de reproducción desde cualquier iDevice al Mac o viceversa, puede también accederse a documentos de una aplicación y a los directorios de la biblioteca en los dispositivos.
En estos ficheros es donde los desarrolladores de iOS suelen almacenar su base de datos, archivos .plist de preferencias u otros archivos de recursos y que se pueden extraer si nos sustraen el dispositivo y están sin cifrar.
En el caso de Mailbox, en el nivel superior del directorio de la aplicación, Documents, hay una carpeta llamada Adjuntos que se compone de todos los archivos adjuntos que hemos recibido o enviado. Todos estos archivos están sin cifrar y sin protección. Dicha carpeta consta de un archivo sqlite que contiene los contactos de nuestros emails, su contenido, etc.
De esta forma, simplemente con tener acceso físico al dispositivo, se pueden sustraer el contenido de todas las aplicaciones que tengan sus archivos sin cifrar; simplemente conectando el dispositivo a nuestro equipo y sabiendo donde buscar podríamos conseguir todo tipo de información no cifrada. Además en el caso de Mailbox tiene un agravante añadido por que según que usuarios, el contenido de sus correos electrónicos pueden contener información confidencial susceptible de ser robada.
Por tanto, es un tarea pendiente de muchos desarrolladores, sobre todo de los de aquellas aplicaciones de mensajería o comunicación entre usuarios que son los que generalmente deben ser más protegidos y los que más problemas suelen causar si son sustraídos.
Esperemos que este problema quede solucionado en la próxima actualización de Mailbox, más cuando Apple pone a disposición de los desarrolladores de iOS una API especifica para la protección de documentos, bases de datos y archivos de las aplicaciones, aunque todo dependerá de los desarrolladores.