Apple May Patch Vakava SMS-haavoittuvuus iPhonessa

Kyseessä oleva teoreettinen hyökkäys heikentää sitä, miten iPhone käsittelee SMS-tekstiviestit (Short Message Service), sanoi tietoturva-tutkija Charlie Miller torstaina pidetyssä Singaporen SyScan-konferenssissa.

Miller on MacOS X: n turvallisuusviranomainen ja on Mac-hakkerin käsikirjan yhteistyökumppani.

[Lue lisää: Paras Android-puhelimet jokaiselle talousarvio.]

SMS-virhe voi sallia, että hyökkääjä suorittaa puhelimen ohjelmistokoodin, joka lähetetään tekstiviestillä matkapuhelinoperaattorin verkon kautta. Millerin tapauksessa näyttää siltä, ​​että hän käytti virheen, jonka hän havaitsi kaatavansa iPhonen kaatumisen, merkki siitä, että vakavampi hyökkäys voisi olla mahdollista.

Jos näin on, haitallinen koodi voisi teoriassa sisältää komentoja, joilla valvotaan puhelimen sijaintia GPS, ota puhelimen mikrofoni salakuuntelemaan keskusteluista tai tee puhelin liittymään hajautettuun palvelunestohyökkäykseen tai botnetiin, Miller sanoi:

Miller ilmoitti haavoittuvuudesta Applelle, toivoen, että se tulee kiinteään. Hän aikoo keskustella puutteesta entisestään suunnitellussa esityksessä Las Vegasin Black Hat USA -konferenssissa.

SMS-haavoittuvuudesta huolimatta iPhoneen käytetyn MacOS X: n käytöstä poistettu versio tekee sen turvallisemmaksi kuin täydet Miller totesi:

Aloittelijoille OS: n käytöstä poistettu versio näyttää vähemmän hyökkääjiä, poistaa sovelluksia ja ominaisuuksia, kuten Adobe Flash- ja Java-tuki, joita he voisivat muutoin hyödyntää haavoittuvuuksia. Lisäksi iPhone sisältää laitteistosuojaus muistiin tallennetuille tiedoille ja puhelin on suunniteltu vain sellaisen ohjelmistokoodin suorittamiseen, jonka Apple on allekirjoittanut digitaalisesti.

iPhone vaatii myös sovelluksia toimimaan hiekkalaatikossa, joka suojaa tietoturvaa ne muista sovelluksista ja rajoittavat niiden pääsyä puhelimen ominaisuuksiin.

"SMS on hyvä vektori hyökkäämään iPhonelle", hän sanoi.

Useimmiten käytetään lyhyiden tekstiviestien lähettämiseen solun välillä puhelimet, SMS voi myös lähettää binaarikoodin iPhonelle, joka käsittelee koodin ilman käyttäjän vuorovaikutusta. Jokainen tekstiviesti on rajoitettu 140 tavuun, mutta pidempiä sekvenssejä voidaan lähettää puhelimeen useina samanaikaisina viestinä, Tämä ominaisuus mahdollistaa suurempien ohjelmien toimittamisen puhelimeen, Miller sanoi.

iPhonen tekstiviestitoiminnossa havaitut haavoittuvuudet antavat hyökkääjän pääsyn matkapuhelimeen, Miller sanoi.

"iPhone on turvallisempi kuin OS X, mutta tekstiviestit voivat olla kriittinen haavoittuvuus", Miller sanoi.

Toimittajan huomautus: Tämä raportti päivitettiin 5. heinäkuuta virheellisen raportin korjaamiseksi, jonka mukaan Apple korjaa iPhone-tapauksen käsittelyn virheitä. Ei ole vahvistusta, että tällainen korjaus on töissä, mutta tutkija, joka löysi virheen, toivoo sen olevan kiinteä.