すべてのCanSecWestには、MacとiPhoneが楽観的に信じていたほど安全ではないという新しい証拠がありますが、最新のハックは 有名なセキュリティ会議のPwn2Ownハッキングコンテストから出てくることは、すべての人を驚かせるのに十分なはずです。ヨーロッパの研究者のペアが示しています どうやって ウェブサイトにアクセスするだけ 完全にパッチが適用されたiPhoneを危険にさらし、SMSデータベース全体を乗っ取る可能性があります。
2人の研究者(VincenzoIozzoとRalphPhilipp Weinmann)は、標的のiPhoneを悪意のある人物に誘い込みました ウェブサイトにアクセスして、iPhoneのSMSデータベース全体(削除されたテキストメッセージを含む)をわずか20で盗んだ 秒。
「基本的に、ユーザーが[不正な]サイトでアクセスするすべてのページはSMSデータベースを取得し、それを私たちが管理するサーバーにアップロードします」とワインマン氏は述べています。
これはかなりのセキュリティ上の欠陥であり、責任あるハッカーによると、すべてiPhoneサンドボックス内で行われています。 デバイスの非rootユーザーである「モバイル」の利点。「このエクスプロイトを使用すると、「モバイル」でできることは何でもできます」とワインマン 言った。
そして、「モバイル」は正確に何ができるのでしょうか。 結局のところ、かなりの量です。 同じ手法を使用して、ユーザーの電話連絡先リスト、電子メールデータベース全体、保存されている写真、さらにはiTunesファイルを作成することもできます。
「アップルにはかなり良い対策がありますが、明らかに十分ではありません。 彼らがコード署名を実装する方法はあまりにも寛大です」と、セキュリティの専門家であるHalvarFlake氏は述べています。
これをすぐに実際に目にすることを心配する必要はありません。CanSecWestの通常の倫理的制約の下で運営されているため、IozzoとWeinmannはその方法を公表しません。 正確には、彼らはAppleがパッチを当てるまでハックを実行しました…そして彼らのトラブルのために、15,000ドルの小切手で成功しました。 pwned。