Če menite, da vašega iPhone-a ni mogoče vdreti, pomislite znova

IPhone je morda manj tarča zlonamerne programske opreme kot Android, vendar nima vseh s seboj. Android je še naprej najbolj napadan mobilni operacijski sistem.Ciscovo letno poročilo o varnosti za leto 2014 navaja, da 99 odstotkov zlonamerne programske opreme Mobile, odkrit leta 2013, je ciljal na Googlov operacijski sistem.

Ko je Apple leta 7 izdal svojo programsko opremo iOS 2013, je Symantec zaznal 70 privzetos. In čeprav te ranljivosti niso vedno enake grožnjam, je jasno, da iOS še zdaleč ni nepremagljiv. Še več, kraja iOS podatkov je lahko zelo donosna Glede na priljubljenost naprav morda obstajajo lakota da jih izkoristijo.

Kot smo izvedeli od NSA in GCHQ, je način zbiranja podatkov s telefonov tak izkoriščajte ranljivosti v svojih aplikacijah.

Yair Amit, soustanovitelj in tehnični direktor Skycure, je zaznal nevarno uporabo tako imenovane funkcije HTTP «301 se je preselil za stalno»Najdeno v številnih aplikacijah v sistemu iOS. Ta funkcija se uporablja, kadar storitve spreminjajo domene. ampak razvijalcem omogoča enostavno spreminjanje naslovov interneta s svojo zlonamerno spletno stranjo.

Tudi ko uporabniki zapustijo to povezavo, ko iOS shrani zlonamerni URL, aplikacija bi še naprej dostopala do spletnega mesta. Yair je komentiral: "Vsaj trije največji ameriški mediji so imeli tako napako v svojih aplikacijah."Lahko je daljinsko in vztrajno nadzorovan, kako deluje aplikacija".

Drug vir negotovosti je uporaba javnih omrežij, na primer WiFi, s aplikacije, ki ne shranjujejo šifriranih podatkov. "Z lahkoto lahko naredite napake, kot je napačno shranjevanje uporabniških podatkov (gesel ali uporabniških imen) v napravi, v veliki večini primerov pa so poverilnice bodisi shranjene nešifrirane bodisi šifrirane z enostavnimi metodami, kot je šifriranje base64 (ali drugimi) dostopati"Pravi Andy Swift, raziskovalec mobilne varnosti pri podjetju za testiranje penetracije Koča3. Ta napaka se razteza na pošiljanje podatkov med aplikacijo in strežnikom.

Druga pogosta težava v aplikacijah za iOS, ki se izvajajo v javnih ali nezaščitenih omrežjih WiFi, je po mnenju Cesarja Cerruda, direktorja svetovalnega podjetja IOActive Labs, napačno ali pomanjkanje preverjanja podatkov ki jih prejme prijava. To zlonamernim napadalcem omogoča pošiljanje podatkov v aplikacijo in namestitev zlonamerne kode v napravo ter krajo informacij.

Druga formula je, da dobite a veljavno potrdilo Apple, ki se prodaja na nekaterih črnih trgih. Michael Shaulov, izvršni direktor podjetja Lacoon Mobile Security naredil demonstracijo. Poslal lažno e-poštno sporočilo, v katerem je uporabnika pozval, naj prenese varnostno posodobitev za aplikacijo WebEx, cko uporabnik klikne povezavo za prenos, že namešča zlonamerno programsko opremo.

MichaelS pomočjo te lažne aplikacije sem zbiral podatke o koledarju, geolokacijo in kontaktne podatke ter celo aktivirano snemanje glasu brez kakršnega koli posredovanja uporabnika. «Številna podjetja so na vrhu in distribucijo internih aplikacij izvajajo tako, da postane zelo razumen phishing cilj. Ljudje so seznanjeni s tem načinom ponujanja nove aplikacije, zato preprosto kliknite to zlonamerno povezavo".

El Sveti gral je "napetost" kode neposredno v App Store, in je tudi dosežen. Raziskovalci Centra za informacijsko varnost Georgia Tech so predložili nekaj, kar se je zdelo legitimen kos programske opreme in Apple ga je sprejel. Ko pa je bila aplikacija nameščena v napravi, je lahko preuredila svojo kodo, da je omogočila funkcije, kot sta kraja fotografij in pošiljanje e-pošte.

Drug potencialno neprijeten vektor napada lahko prihaja iz napadov na spletnih mestih, ki sprožijo izkoriščanje naravnost v osrčje iOS-a in privilegiji uporabnika. To je eden najtežjih načinov, kako razbiti iOS, še posebej, ker napadalec delo opravlja na daljavo, namesto da bi imel neposreden dostop do naprave.

Tarjei Mandt, višji raziskovalec na  Azimutova varnost, raziskuje načine, kako iOS dodeli pomnilnik, in meni, da je našel potencialno slabost. Najdemo ga v tako imenovanem novem «struktura metapodatkov strani območja", Kateri je zasnovan za izboljšanje delovanja območja, dodeljenega operacijskemu sistemuin se uporablja za organizacijo spomina. Hipotetični napad bi bil zavajanje te strukture metapodatkov in prepisovanje kode z uporabo povezavo daljinski upravljalnik v lastnem pomnilniku naprave.

Drug način za koreninjenje telefona je, da ga zapremo z uporabo orodij, znanih kot evasi0n, ki zahtevajo, da se iPhone poveže z računalnikom prek USB-ja, da pridobi uporabniške privilegije. To bi bil čas za namestitev zlonamerne programske opreme. lakon ima podatke, ki kažejo, da je iOS najljubši cilj sphonov. 

MRATS, mobilni trojanski oddaljeni dostop

Najboljša strategija, napravo posodabljajte s strani proizvajalca, prezrite sumljive povezave in je ne pozabite….

Več informacij - 5 dobrih razlogov, da ne zaprete iPhonea iz zapora