हर कैनसेकवेस्ट के साथ नया सबूत आता है कि हमारे मैक और आईफ़ोन कहीं भी उतने सुरक्षित नहीं हैं जितना हम आशावादी रूप से मानते थे, लेकिन नवीनतम हैक करने के लिए प्रसिद्ध सुरक्षा सम्मेलन की Pwn2Own हैकिंग प्रतियोगिता से बाहर आना सभी को सचेत करने के लिए पर्याप्त होना चाहिए: यूरोपीय शोधकर्ताओं की एक जोड़ी ने दिखाया है कैसे बस एक वेबसाइट पर जा रहे हैं पूरी तरह से पैच किए गए iPhone से समझौता कर सकता है और पूरे एसएमएस डेटाबेस को हाईजैक कर सकता है।
दो शोधकर्ताओं - विन्सेन्ज़ो इओज़ो और राल्फ फिलिप वेनमैन - ने एक दुर्भावनापूर्ण iPhone को लक्षित iPhone का लालच दिया वेबसाइट और iPhone के संपूर्ण एसएमएस डेटाबेस (हटाए गए टेक्स्ट संदेशों सहित) को केवल बीस. में चुरा लिया सेकंड।
"मूल रूप से, प्रत्येक पृष्ठ जो उपयोगकर्ता हमारी [धांधली] साइट पर जाता है, एसएमएस डेटाबेस को पकड़ लेगा और इसे हमारे द्वारा नियंत्रित सर्वर पर अपलोड करेगा," वेनमैन ने कहा।
यह काफी सुरक्षा दोष है, और जिम्मेदार हैकर्स के अनुसार, यह सब iPhone सैंडबॉक्स के भीतर किया जाता है, डिवाइस के गैर-रूट उपयोगकर्ता, 'मोबाइल' का लाभ। "इस शोषण के साथ, मैं कुछ भी कर सकता हूं जो 'मोबाइल' कर सकता है," वीनमैन कहा।
और 'मोबाइल' क्या कर सकता है, बिल्कुल? काफी हद तक, जैसा कि यह निकला। उपयोगकर्ता की फ़ोन संपर्क सूची, संपूर्ण ईमेल डेटाबेस, संग्रहीत फ़ोटोग्राफ़ या यहां तक कि iTunes फ़ाइलों के साथ एक ही तकनीक का उपयोग किया जा सकता है।
"Apple के पास बहुत अच्छे प्रति-उपाय हैं लेकिन वे स्पष्ट रूप से पर्याप्त नहीं हैं। जिस तरह से वे कोड-हस्ताक्षर लागू करते हैं, वह बहुत उदार है, ”सुरक्षा विशेषज्ञ हलवर फ्लेक की सहायता करते हुए कहा।
इसे तुरंत जंगली में देखने के बारे में चिंता न करें: कैनसेकवेस्ट की सामान्य नैतिक बाधाओं के तहत काम करते हुए, Iozzo और Weinmann यह प्रचारित नहीं करेंगे कि कैसे, ठीक है, उन्होंने हैक को तब तक अंजाम दिया जब तक कि Apple ने इसे पैच नहीं कर दिया... और उनकी परेशानियों के लिए, $ 15,000 के चेक के साथ, और समझौता किए गए iPhone के साथ उन्होंने गिरवी रखा