Το IPhone Attack στο iPhone θα εξαπολυθεί στο Black Hat

Η Apple έχει μόλις μία μέρα αφεθεί για να διορθώσει ένα σφάλμα στο λογισμικό iPhone της που θα μπορούσε να αφήσει τους hackers να αναλάβουν το iPhone, ακριβώς με την αποστολή και SMS (Short Message Service) μήνυμα

ανακαλύφθηκε από τον γνωστό χάκερ iPhone Τσάρλι Μίλερ, ο οποίος μίλησε για το θέμα στο συνέδριο SyScan στη Σιγκαπούρη. Εκείνη την εποχή, είπε ότι ανακάλυψε έναν τρόπο να συντρίψει το iPhone μέσω SMS και ότι σκέφτηκε ότι η σύγκρουση θα μπορούσε τελικά να οδηγήσει σε κώδικα επίθεσης εργασίας.

Δεδομένου ότι, τότε, εργάστηκε σκληρά και τώρα λέει ότι είναι είναι σε θέση να αναλάβει το iPhone με μια σειρά κακόβουλων μηνυμάτων SMS. Σε συνέντευξή του την Τρίτη, ο Μίλερ δήλωσε ότι θα δείξει πώς μπορεί να γίνει αυτό κατά τη διάρκεια μιας παρουσίασης στο συνέδριο ασφάλειας Black Hat στο Λας Βέγκας την Πέμπτη με τον ερευνητή ασφαλείας Collin Mulliner.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλα προγράμματα από τον υπολογιστή σας των Windows]

"Το SMS είναι ένα απίστευτο διάνυσμα επίθεσης για κινητά τηλέφωνα", δήλωσε ο MIller, αναλυτής της Independent Security Evaluators. "Το μόνο που χρειάζομαι είναι ο αριθμός τηλεφώνου σας. Δεν χρειάζεται να κάνετε κλικ σε σύνδεσμο ή οτιδήποτε άλλο."

Ο Miller ανέφερε το ελάττωμα στην Apple πριν από περίπου έξι εβδομάδες, αλλά ο κατασκευαστής του iPhone δεν έχει κυκλοφορήσει ακόμα ένα κομμάτι για το θέμα. Οι αντιπρόσωποι της Apple δεν μπορούσαν να προσεγγιστούν για σχόλια, αλλά η εταιρεία διατηρεί συνήθως το ήσυχο για τα ελαττώματα του λογισμικού μέχρι να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα.

Αν απελευθερώσει μια προ-Black Hat patch, η Apple δεν θα είναι μόνη της. Η Microsoft χρειάστηκε να ανακατασκευάσει για να θέσει μια επείγουσα επιδιόρθωση για ένα ζήτημα στη βιβλιοθήκη Active Template Library (ATL), που χρησιμοποιήθηκε για την κατασκευή στοιχείων ελέγχου ActiveX. Αυτή η ενημερωμένη έκδοση κώδικα "εκτός κύκλου" κυκλοφόρησε την Τρίτη, μπροστά από μια άλλη παρουσίαση του Black Hat σχετικά με την συγκεκριμένη ευπάθεια.

Η επίθεση του Miller δεν ανακαλύπτει πραγματικά κέλυφος - οι βασικοί επιτιθέμενοι λογισμικού χρησιμοποιούν ως σκαλοπάτι για να ξεκινήσουν τα δικά του προγράμματα σε μια μηχανή που έχει καταστραφεί - αλλά τον επιτρέπει να ελέγχει τις οδηγίες που βρίσκονται μέσα στον επεξεργαστή του τηλεφώνου. Με την περισσότερη δουλειά, κάποιος θα μπορούσε να εκμεταλλευτεί και να εκτελέσει κέλυφος, δήλωσε ο Miller

Παρόλο που πρόκειται για μια παλιά τεχνολογία, το SMS αναδεικνύεται ως ένας ελπιδοφόρος τομέας έρευνας ασφάλειας, καθώς οι ερευνητές της ασφάλειας χρησιμοποιούν τις ισχυρές υπολογιστικές δυνατότητες του iPhone και του Android για να ρίξουμε μια ματιά στον τρόπο με τον οποίο λειτουργεί στα δίκτυα κινητής τηλεφωνίας.

Την Πέμπτη, δύο άλλοι ερευνητές, Zane Lackey και Luis Miras, θα δείξουν πώς μπορούν να ψεύδουν SMS μηνύματα που κανονικά θα αποστέλλονται μόνο από διακομιστές στον μεταφορέα. Αυτός ο τύπος επίθεσης θα μπορούσε να χρησιμοποιηθεί για την αλλαγή των ρυθμίσεων ενός τηλεφώνου κάνοντας απλά την αποστολή ενός μηνύματος SMS

Ο Miller πιστεύει ότι πιθανότατα θα εμφανιστεί περισσότερος δίαυλος SMS και για να τα βρει, ο Mulliner έχει αναπτύξει ένα SMS "fuzzing "εργαλείο που μπορεί να χρησιμοποιηθεί για να σφυρηλατήσει μια κινητή συσκευή με χιλιάδες μηνύματα SMS χωρίς να στέλνει πραγματικά τα μηνύματα μέσω του ασύρματου δικτύου (μια δαπανηρή προσπάθεια).

Το εργαλείο, το οποίο ονομάζει το Injector, τρέχει στο iPhone OS, Android και κινητά τηλέφωνα Windows Mobile

Το εργαλείο τοποθετείται μεταξύ του επεξεργαστή υπολογιστή του τηλεφώνου και του μόντεμ και το κάνει να φαίνεται ότι τα μηνύματα SMS έρχονται πραγματικά μέσω του μόντεμ όταν πραγματικά παράγονται από το τηλέφωνο.