Kui arvate, et teie iPhone'i ei saa häkkida, mõelge uuesti

IPhone võib olla pahavara sihtmärgiks vähem kui Android, kuid neil pole neid kõiki. Android on endiselt enim rünnatud mobiilne operatsioonisüsteem. Cisco 2014. aasta turvaaruandes on öeldud, et 99 protsenti pahavarast 2013. aastal avastatud mobiil oli suunatud Google'i operatsioonisüsteemile.

Kui Apple 7. aastal oma iOS 2013 tarkvara välja andis, tuvastas Symantec Vaikimisi 70s. Ja kuigi need haavatavused ei võrdu alati ohtudega, on selge, et iOS pole kaugeltki võitmatu. See on rohkem, iOS-i andmete varastamine võib olla väga tulus Arvestades seadmete populaarsust, võib olla ka nälg neid ära kasutada.

Nagu NSA-lt ja GCHQ-lt teada oleme saanud, on telefonidest andmete kogumise viis ära kasutada oma rakenduste haavatavusi.

Skycure'i kaasasutaja ja tehnoloogiadirektor Yair Amit tuvastas nn HTTP-funktsiooni ebaturvalise kasutamise.301 kolis jäädavalt»Leitud paljudest iOS-i rakendustest. Seda funktsiooni kasutatakse siis, kui teenused muudavad domeene. aga võimaldab arendajatel hõlpsalt aadresse muuta Interneti kaudu oma pahatahtliku saidiga.

Isegi kui kasutajad lahkuvad sellest ühendusest, kui iOS vahemälu pahatahtlikku URL-i salvestab, rakendus jätkaks saidile juurdepääsu. Vähemalt kolme suurima Ameerika meediaväljaande rakendustes oli selline viga, kommenteeris Yair:Seda saab kaugjuhtida ja püsivalt juhtida, kuidas rakendus töötab"

Teine ebakindluse allikas on avalike võrkude, näiteks WiFi, kasutamine koos rakendused, mis ei salvesta krüpteeritud andmeid. "Selliseid vigu nagu kasutajaandmete (paroolide või kasutajanimede) vale salvestamine seadmesse on lihtne teha, enamikul juhtudel salvestatakse mandaadid kas krüptimata või on krüpteeritud selliste meetodite abil nagu krüptimisbaas64 (või muud), mis on lihtsad ligi pääsema"Ütleb penetratsiooni testimise ettevõtte mobiilse turvalisuse uurija Andy Swift Onn3. See tõrge laieneb andmete saatmisele rakenduse ja serveri vahel.

Konsultatsioonifirma IOActive Labsi direktori Cesar Cerrudo sõnul on avalikes või kaitsmata WiFi-võrkudes töötavate iOS-i rakenduste teine ​​levinud probleem vale või andmete valideerimise puudumine taotlusele laekunud. See võimaldab pahatahtlikel ründajatel andmeid rakendusse saata ja seadmesse pahatahtliku koodi installida ning teavet varastada.

Teine valem on saada a kehtiv Apple'i sertifikaat, mida müüakse mõnel mustal turul. Michael Shaulov, ettevõtte tegevjuht Lacooni mobiilne turvalisus tegi meeleavalduse. Saadetud mõnitatav e-kiri, milles kutsuti kasutajat alla laadima rakenduse WebEx turvavärskendus, cKui kasutaja klikib allalaadimislingil, installivad nad juba pahavara.

MichaelMa kasutasin seda võltsrakendust kalendriteabe, geograafilise asukoha ja kontaktandmete kogumiseks ja isegi aktiveeritud helisalvestus ilma kasutaja sekkumiseta. «Paljud ettevõtted on tõusnud esirinnale ja levitavad sisemisi rakendusi nii, et sellest saaks väga mõistlik andmepüügi sihtmärk. Uue rakenduse pakkumise viis on inimestele tuttav, seega klõpsake lihtsalt sellel pahatahtlikul lingil"

El Püha Graal on koodi otse "pingutada" App Store'isja see on ka saavutatud. Georgia Tech Information Security Centeri teadlased esitasid tarkvara, mis näis olevat seaduslik ja Apple nõustus sellega. Kuid kui rakendus oli seadmesse installitud, suutis see oma koodi ümber korraldada, et võimaldada selliseid funktsioone nagu fotode varastamine ja meilide saatmine.

Teine potentsiaalselt vastik rünnakuvektor võib tulla veebisaidi rünnakutest, mis käivitavad ekspluateerimise otse iOS-i südamesse ja kasutaja õigused. See on üks kõige raskemaid viise iOS-i purustamiseks, eriti kuna ründaja teeb seadmele otsese juurdepääsu asemel tööd eemalt.

Tarjei Mandt, vanemteadur aadressil  Asimuudi turvalisus, olete uurinud, kuidas iOS mälu eraldab, ja arvate, et olete leidnud potentsiaalse nõrkuse. Seda leidub nn uuena «tsoonilehe metaandmete struktuur«Mis on mõeldud operatsioonisüsteemile määratud tsooni jõudluse parandamiseksja seda kasutatakse mälu korrastamiseks. Hüpoteetiline rünnak oleks selle metaandmete struktuuri petmine ja koodi abil uuesti kirjutamine ühendus seadme enda mällu.

Teine võimalus telefoni juurimiseks on see vanglasse murda kasutades evasi0n nime all tuntud tööriistu, mis nõuavad iPhone'ilt kasutajaõiguste saamiseks USB-ühenduse kaudu arvutiga ühenduse loomist. See oleks aeg pahavara installimiseks. lakoon on andmeid, mis näitavad, et iOS on spioonitelefonide lemmik sihtmärk. 

MRATS, mobiilne kaugjuurdepääs TrojanS

Parim strateegia, hoidke seadet tootja värskendatuna, eirake kahtlaseid linke ja ärge unustage seda silmist ...

Rohkem informatsiooni - 5 head põhjust, miks EI pea iPhone'i vangistama