Cu fiecare CanSecWest vine o nouă dovadă a faptului că Mac-urile și iPhone-urile noastre nu sunt nici pe departe atât de sigure pe cât am crezut în mod optimist, dar cel mai recent hack pentru să iasă din celebrul concurs de hacking Pwn2Own al conferinței de securitate ar trebui să fie suficient pentru a alarma pe toată lumea: o pereche de cercetători europeni au arătat Cum doar vizitând un site web poate compromite un iPhone complet reparat și poate detașa întreaga bază de date SMS.
Cei doi cercetători - Vincenzo Iozzo și Ralph Philipp Weinmann - au atras un iPhone țintă către un rău intenționat și a furat întreaga bază de date SMS a iPhone-ului (inclusiv mesajele text șterse) în doar douăzeci secunde.
„Practic, fiecare pagină pe care utilizatorul o vizitează pe site-ul nostru [trucat] va prelua baza de date SMS și o va încărca pe un server pe care îl controlăm”, a spus Weinmann.
Este destul de defect de securitate și, potrivit hackerilor responsabili, totul se face în sandbox-ul iPhone, luând în considerare avantajul utilizatorului non-root al dispozitivului, „mobil”. „Cu acest exploit, pot face orice poate face„ mobil ”, Weinmann spus.
Și ce poate face „mobilul”, mai exact? Destul de puțin, după cum se dovedește. Aceeași tehnică poate fi utilizată pentru a face off cu lista de contacte telefonice a unui utilizator, întreaga bază de date de e-mail, fotografii stocate sau chiar fișiere iTunes.
„Apple are contramăsuri destul de bune, dar în mod clar nu sunt suficiente. Modul în care implementează semnarea codului este prea îngăduitor ”, a declarat Halvar Flake, expert în asistență în securitate.
Nu vă faceți griji dacă vedeți acest lucru în natură imediat: operând sub constrângerile etice obișnuite ale CanSecWest, Iozzo și Weinmann nu vor face public cum, Exact, au eliminat hack-ul până când Apple a reparat-o... și pentru necazurile lor, au făcut-o cu un cec de 15.000 $ și iPhone-ul compromis pwned.
