iPhone je možda manje meta za malver nego Android, ali nema sve. Android ostaje najnapadaniji mobilni operativni sistem. Ciscov godišnji izvještaj o sigurnosti za 2014. navodi da 99 posto zlonamjernog softvera Mobilni telefon otkriven 2013. ciljao je Googleov operativni sistem.
Kada je Apple objavio svoj iOS 7 softver 2013. godine, Symantec je otkrio 70 defaults. I dok ove ranjivosti nisu uvijek jednake prijetnjama, jasno je da je iOS daleko od nepobjedivog. to je vise, Krađa iOS podataka može biti vrlo isplativa s obzirom na popularnost uređaja, možda postoji glad da ih eksploatiše.
Kako smo saznali od NSA i GCHQ, način prikupljanja podataka sa telefona je iskoristite ranjivosti u vašim aplikacijama.
Yair Amit, suosnivač i tehnički direktor Skycurea, otkrio je nesigurnu upotrebu onoga što je poznato kao HTTP funkcija «301 preselio za stalno» nalazi se u mnogim aplikacijama na iOS-u. Ova funkcija se koristi kada usluge mijenjaju domene. ali omogućava programerima da lako mijenjaju adrese Interneta sa sopstvenom zlonamernom lokacijom.
Čak i kada korisnici napuste tu vezu, pošto iOS kešira zlonamjerni URL, aplikacija bi i dalje pristupala stranici. Najmanje tri najveća američka medija imala su takav nedostatak u svojim aplikacijama, komentirao je Yair "Možete daljinski i uporno pratiti kako aplikacija radi".
Drugi izvor nesigurnosti je korištenje javnih mreža, na primjer WiFi Aplikacije koje ne pohranjuju šifrirane podatke. "Lako je napraviti greške kao što je pogrešno pohranjivanje korisničkih podataka (lozinki ili korisničkih imena) na uređaju, u velikoj većini slučajeva vjerodajnice su ili pohranjene nešifrirane ili su šifrirane korištenjem metoda kao što je enkripcija base64 (ili drugih) koje su jednostavne za pristup“, kaže Andy Swift, istraživač mobilne sigurnosti u kompaniji za testiranje penetracije Hut3. Ova greška se proteže na slanje podataka između aplikacije i servera.
Još jedan čest problem u iOS aplikacijama koje rade na javnim ili nezaštićenim WiFi mrežama, prema Cesaru Cerrudu, direktoru konsultantske firme IOActive Labs, je netačnost ili nedostatak validacije podataka primljeno aplikacijom. Ovo omogućava zlonamjernim napadačima da pošalju podatke u aplikaciju i instaliraju zlonamjerni kod na uređaj i ukradu informacije.
Druga formula je da dobijete a važeći Apple sertifikat, koji se prodaju na nekim crnim tržištima. Michael Shaulov, izvršni direktor Lacoon Mobile Security Dao je demonstraciju. Poslao lažni e-mail pozivajući korisnika da preuzme sigurnosno ažuriranje za WebEx aplikaciju, cKada korisnik klikne vezu za preuzimanje, već instalira zlonamjerni softver.
MichaelKoristio je tu lažnu aplikaciju za prikupljanje kalendarskih informacija, geolokacije i podataka o kontaktu, i čak i aktivirano snimanje glasa bez ikakve intervencije korisnika. «Mnoge kompanije se pridružuju avangardi i distribuiraju interne aplikacije na takav način da postaju vrlo razumna meta za krađu identiteta. Ljudima je poznat ovaj način ponude nove aplikacije, pa samo kliknu na tu zlonamjernu vezu".
El sveti gral to je direktno "naprezanje" koda u App Storeu, i to je takođe postignuto. Istraživači iz Georgia Tech Information Security Center-a poslali su nešto što se činilo legitimnim softverom i Apple ga je prihvatio. Ali nakon što je aplikacija instalirana na uređaj, uspjela je preurediti svoj kod kako bi omogućila funkcije poput krađe fotografija i slanja e-pošte.
Još jedan potencijalno gadan vektor napada može doći od napada na web stranice koji pokreću eksploataciju direktno u srce iOS-a i na privilegije korisnika. Ovo je jedan od najtežih načina za razbijanje iOS-a, posebno zato što napadač radi na daljinu umjesto da ima direktan pristup uređaju.
Tarjei Mandt, viši istraživač u Azimuth Security, istražuje načine na koje iOS dodjeljuje memoriju i vjeruje da je pronašao potencijalnu slabost. Nalazi se u takozvanom novom «struktura metapodataka stranice zone", Koji je dizajniran da poboljša performanse oblasti dodeljene operativnom sistemu, a koji se koristi za organizaciju memorije. Hipotetički napad bi bio prevariti ovu strukturu metapodataka i prepisati kod koristeći veza daljinski u vlastitoj memoriji uređaja.
Drugi način da dobijete root pristup telefonu je bekstvo iz zatvora koristeći alate poznate kao evasi0n, koji zahtijevaju da se iPhone poveže s PC-om preko USB-a kako bi dobio korisničke privilegije. To bi bilo vrijeme za instaliranje zlonamjernog softvera. Lacoon ima podatke koji pokazuju da je iOS omiljena meta špijunskih telefona.
MRATS, Mobile Remote Access TrojanS
Najbolja strategija, ažurirajte uređaj preko proizvođača, ne obraćajte pažnju na sumnjive linkove i ne gubite iz vida...
Više informacija - 5 dobrih razloga da NE zatvorite iPhone
hvala na informacijama
Vidio sam naziv teme i rekao šta je dođavola ovo? Onda sam vidio da je od Carmen i shvatio sam hahaha.
Uvijek je dobro znati malo više informacija. S druge strane, oni koji daju negativne komentare mogu umrijeti, jer nemaju hrabrosti napraviti ili napisati članak. Kakva šteta za ljude. 😀
Ono što je jasno jeste da je jedan od onih koji uvek piše u komentarima, bezuslovno podržavajući one koji pišu (ne usuđujem se da ih nazovem urednicima...) jeste ona sama. I hajde, potpuno se slažem s Heribertom: čitajući prva dva reda svakog članka znaš da li je od Cristine ili Carmen... Stranica je prije imala malo više kvalitete bez sumnje.
Znao sam da nije Kristinino. Hvala vam puno na informacijama.
Još jedna karmenada…