Skomentuj:
Aby ocenić zaloguj się lub zarejestrujX
Problem został szczegółowo opisany w blogu Cryptopath. W skrócie rzecz ujmując, chodzi o to, że iPhone - podobnie jak wiele podobnych urządzeń - został wyposażony w funkcję instalowania aktualizacji i plików konfiguracyjnych bezpośrednio z Internetu, za pośrednictwem wbudowanej przeglądarki Safari. Ta funkcja wykorzystywana może być np. w firmach, których pracownicy wyposażeni są w iPhone'y - do jednoczesnego wprowadzania do wielu urządzeń zmian w ustawieniach. Oczywiście, Apple zastosował zabezpieczenia mające gwarantować, że do telefonu trafią jedynie sprawdzone, "legalne" aktualizacje - okazje się jednak, że owe zabezpieczenia można obejść.
We wspomnianym wpisie opisano, jak można sfałszować certyfikat mający potwierdzać, że aktualizacja czy plik konfiguracyjny pochodzą z zaufanego źródła - okazuje się, że bez problemu można sprawić, by nawet złośliwy kod wyglądał na bezpieczny, zweryfikowany przez Apple, plik.
Co ważne, cały proces nie odbywa się w pełni automatycznie - na pobranie i zainstalowanie aktualizacji musi się zgodzić użytkownik. Ale skoro plik będzie sygnowany przez Apple, to można się spodziewać, że zdecydowana większość właścicieli iPhone'a zainstaluje go bez wahania.
Z pierwszych ustaleń wynika, że ów błąd nie umożliwia na szczęście instalowania w telefonie dodatkowego oprogramowania (np. jakiegoś trojana) - ale luka i tak może być na wiele sposobów wykorzystana przez internetowych przestępców (np. do przekierowywania ruchu internetowego, przechwytywania poczty itp.). Dodajmy, że problem dotyczy również iPoda Touch.
Warto dodać, że to kolejny już poważny błąd wykryty w zabezpieczeniach smartfona firmy Apple - na szczęście do tej pory żadna luka nie spowodowała realnego zagrożenia dla użytkowników urządzenia. Apple zwykle łatał je zanim przestępcy zaczęli wykorzystywać je do przeprowadzania ataków - miejmy nadzieję, że tak samo będzie tym razem.
Więcej informacji: Cryptopath.
Czytaj więcej na technologie.gazeta.pl
We wspomnianym wpisie opisano, jak można sfałszować certyfikat mający potwierdzać, że aktualizacja czy plik konfiguracyjny pochodzą z zaufanego źródła - okazuje się, że bez problemu można sprawić, by nawet złośliwy kod wyglądał na bezpieczny, zweryfikowany przez Apple, plik.
Co ważne, cały proces nie odbywa się w pełni automatycznie - na pobranie i zainstalowanie aktualizacji musi się zgodzić użytkownik. Ale skoro plik będzie sygnowany przez Apple, to można się spodziewać, że zdecydowana większość właścicieli iPhone'a zainstaluje go bez wahania.
Z pierwszych ustaleń wynika, że ów błąd nie umożliwia na szczęście instalowania w telefonie dodatkowego oprogramowania (np. jakiegoś trojana) - ale luka i tak może być na wiele sposobów wykorzystana przez internetowych przestępców (np. do przekierowywania ruchu internetowego, przechwytywania poczty itp.). Dodajmy, że problem dotyczy również iPoda Touch.
Warto dodać, że to kolejny już poważny błąd wykryty w zabezpieczeniach smartfona firmy Apple - na szczęście do tej pory żadna luka nie spowodowała realnego zagrożenia dla użytkowników urządzenia. Apple zwykle łatał je zanim przestępcy zaczęli wykorzystywać je do przeprowadzania ataków - miejmy nadzieję, że tak samo będzie tym razem.
Więcej informacji: Cryptopath.
Czytaj więcej na technologie.gazeta.pl
