News 

Ο Charlie Miller αποκαλύπτει σημαντικό πρόβλημα ασφαλείας στο iOS

Konstantinos ,

Μέχρι στιγμής έχουμε διαβάσει πάρα πολλές φορές σχετικά με την ασφάλεια που παρέχει το iOS σε σχέση με το Android και συγκεκριμένα είναι πολλές οι εταιρίες που έχουν βρει μέχρι στιγμής ότι το σύστημα της Apple έχει λιγότερα από malware σε σχέση με αυτά που υπάρχουν στην αντίπαλη εταιρία Google.

Η εξήγηση πίσω από αυτό είναι ότι η Apple έχει ένα “τοίχο προστασίας” αυτό είναι οι εγκρίσεις που θα πρέπει να λάβουν οι developers ώστε να περάσουν οι εφαρμογές τους στο App Store. Όλες οι εφαρμογές θα πρέπει να προβληθούν και να πληρούν ορισμένα κριτήρια πριν κυκλοφορήσουν στο App Store. Όμως αυτό δεν σταμάτησε ένα hacker από το να ανακαλύψει ένα αρκετά σοβαρό bug.

Η Forbes ανακοινώνει ότι ο κακόφημος hacker Charlie Miller βρήκε ένα τρόπο να κρύψει κακόβουλο κώδικα μέσα σε μία εφαρμογή σε σημείο που δεν μπόρεσαν να βρούνε αυτοί που ελέγχουν τις εφαρμογές που περνάνε στο App Store. Το Miller ίσως τον θυμάστε από προηγούμενα iPhone exploits ή από διάφορους διαγωνισμούς Pwn2Own.

H Forbes εξηγεί το τελευταίο του εύρημα στο iOS:

Στο συνέδριο SysCan στην Taiwan την επόμενη εβδομάδα ο  Miller σχεδιάζει να παρουσιάσει μια μέθοδο που επιτρέπει να παρακάμψουμε τις απαγορεύσεις της Apple στην υπογραφή κώδικα στις iOS συσκευές, τα μέτρα ασφαλείας επιτρέπουν μόνο εντολές που εγκρίνει η Apple να τρέχουν σε ένα iPhone ή iPad. Με αυτή τη μέθοδο ο Miller έχει ήδη ετοιμάσει μια εφαρμογή στο App Store για να παρουσιάσει το κόλπακι του. Η εφαρμογή αυτή θα μπορεί να συνδέσει κάποιον σε έναν υπολογιστή ο οποίος θα στέλνει στην συσκευή εντολές χωρίς έγκριση και μετά θα τις τρέχει. Στη διαδικασία αυτή θα μπορεί να κλέψει επίσης δεδομένα όπως φωτογραφίες, επαφές, θα μπορεί να κάνει το iPhone να δονείτε ή να παίζει ήχους και άλλα.

Η εφαρμογή που έχει ετοιμάσει ονομάζεται instastock και στην περιγραφή αναφέρει ότι είναι απλά μια εφαρμογή για απλή λίστα tickers αποθεμάτων αλλά στη πραγματικότητα κάνει πολύ περισσότερα. Η εφαρμογή επικοινωνεί με τον υπολογιστή και εκτελεί τις τροποποιημένες εφαρμογές. Δείτε περισσότερα στο video.

httpv://www.youtube.com/watch?v=ynTtuwQYNmk

Η εφαρμογή του αυτή αφαιρέθηκε από το App Store και όπως αναφέρει το The Next Web η Apple αφαίρεσε το Miller από το iOS developer program. Ο ίδιος αναφέρει στο Twitter “αισθάνομαι ότι είναι λίγο αυστηρό, μου λείπει ο Steve.”

Το bug του Miller δεν θα αποκαλυφθεί μέχρι την παρουσίαση στη SysCan την επόμενη εβδομάδα. Αυτό επειδή θέλει να δώσει λίγο χρόνο στην Apple να πατσάρει το exploit πριν το δημοσιεύσει στο ευρύ κοινό. Θα πρέπει να σημειώσουμε σε αυτό το σημείο ότι το πρόβλημα ασφαλείας που υπάρχει μπορεί να μειώσει την ασφάλεια της iOS πλατφόρμας μέχρι και στο επίπεδο που τώρα βρίσκεται το Android.

Σύμφωνα όμως με το update iOS 5.0.1 που κυκλοφόρησε χθες και τις πληροφορίες ασφαλείας που αργότερα δημοσίευσε η Apple για αυτό, μπορούμε να δούμε ότι το πρόβλημα ασφαλείας έχει ήδη διορθωθεί.

[ MacStories ]