Med hver CanSecWest kommer der et nyt bevis på, at vores Mac'er og iPhones ikke er nær så sikre, som vi optimistisk troede, men det seneste hack til komme ud af den berømte sikkerhedskonferences Pwn2Own -hackingkonkurrence burde være nok til at skræmme alle: et par europæiske forskere har vist hvordan bare besøger et websted kan gå på kompromis med en fuldt patched iPhone og kapre hele SMS -databasen.
De to forskere - Vincenzo Iozzo og Ralph Philipp Weinmann - lokkede en mål -iPhone til en ondsindet websted og stjal hele iPhone’s SMS -database (inklusive slettede tekstbeskeder) på kun tyve sekunder.
"Grundlæggende vil hver side, som brugeren besøger på vores [rigget] websted, gribe SMS -databasen og uploade den til en server, vi kontrollerer," sagde Weinmann.
Det er ganske sikkerhedsfejlen, og ifølge de ansvarlige hackere er det hele gjort i iPhone -sandkassen, tager fordel ved enhedens ikke-root-bruger, 'mobil.' "Med denne udnyttelse kan jeg gøre alt, hvad 'mobil' kan gøre," Weinmann sagde.
Og hvad kan 'mobil' præcist gøre? Ganske lidt, som det viser sig. Den samme teknik kan bruges til at komme af med en brugers telefonkontaktliste, hele e -maildatabasen, lagrede fotografier eller endda iTunes -filer.
“Apple har ret gode modforanstaltninger, men de er tydeligvis ikke nok. Den måde, de implementerer kodesignering på, er for mild, ”sagde den assisterende sikkerhedsexpert Halvar Flake.
Du skal ikke bekymre dig om at se dette i naturen med det samme: Iozzo og Weinmann vil ikke offentliggøre, hvordan de opererer under CanSecWests sædvanlige etiske begrænsninger præcis, de fortsatte hacket, indtil Apple har patched det... og for deres problemer, afsted med en $ 15.000 check, og den kompromitterede iPhone de pwned.
