אייפון עם חורים

מאת יניב פלדמן, יולי 3, 2009. אין תגובות. שייך לקטגוריות אבטחת מידע, גאדג'טים

בפעם הראשונה מזה שנתיים, גילה חוקר אבטחה בשם צ'רלי מילר,המוכר בקהילת ה-OS X של אפל, חור אבטחה חדש במערכת ההפעלה של מכשיר האייפון. חור האבטחה מאפשר להתקין מרחוק קוד זדוני על מכשיר האייפון ולקבל גישת Root מלאה למכשיר באמצעות הודעת SMS.

הקטנת טקסט הגדלת טקסט

אפשר להשתלט על האייפון באמצעות הודעת SMS פשוטה

בהתחשב בפופולאריות של מכשירי האייפון, היינו מצפים שכמות חורי האבטחה שיתגלו על-ידי חוקרים ומשתמשים תהיה גדולה משמעותית ממה שנתגלה בפועל. האם זה אומר שהמערכת באמת מאובטחת כמו שצריך? לא בטוח בכלל.

מגזין החומרה HotHardware דיווח אתמול כי בפעם הראשונה מזה שנתיים, גילה חוקר אבטחה בשם צ'רלי מילר,המוכר בקהילת ה-OS X של אפל, חור אבטחה חדש במערכת ההפעלה של מכשיר האייפון. מילר הציג בכנס SyScan שנערך השבוע בסינגפור את חור האבטחה החדש אשר מאפשר, לדבריו, להתקין מרחוק קוד זדוני על מכשיר האייפון ולקבל גישת Root מלאה למכשיר.

מילר, החתום על הסכם סודיות מול אפל, היה מוכן לגלות רק כי חור האבטחה מצוי במנגנון הודעות ה-SMS של מערכת ההפעלה וכי באמצעות הודעות SMS ניתן להריץ קוד זדוני על המכשיר (גם אם הוא אינו חתום דיגיטלית) ולבצע פעולות כגון איתור המכשיר באמצעות GPS, הפעלת המיקרופון במכשיר ושימוש בו כבאמצעי האזנה, הפיכת המכשיר לאמצעי תקיפה במסגרת DoS ואפילו צירופו לרשת בוטים (Botnet).

מילר ציין כי הוא יספק פרטים נוספים על חור האבטחה שגילה במסגרת כנס ה-Black Hat USA שיתקיים בסוף יולי בלאס-וגאס, מה שמשאיר לאפל חלון הזדמנויות מצומצם ביותר לטפל בבעייה. לפי התוכניות, אפל אמורה לשחרר תיקון למערכת ההפעלה כבר בשבועיים הקרובים, אך החברה לא מסרה פרטים נוספים מעבר להכרה בבעייה והודעה כי הנושא נמצא בטיפול.

מאחר ולא נמסרו פרטים נוספים על חור האבטחה המדובר, הסיכוי כי האקרים יספיקו לנצל אותו לרעה במסגרת הזמן הנתונה הוא קלוש למדי. אף על פי כן, כמות האייפונים הגדולה הקיימת בעולם בכלל ובארץ בפרט החשופה לחור האבטחה החדש שעלול להפוך כל מכשיר לאמצעי האזנה, איתור או תקיפה דיגיטלית הופכת את הנושא לבעייתי בלשון המעטה.

תגים: Apple, Denial-of-service attack, Global Positioning System, GPS, iPhone, Short message service, Short Messaging Service, SMS, אבטחת מידע, אייפון, אפל, הודעות טקסט, חורי אבטחה

יניב פלדמן

מייסד האתר ועורך ראשי. טכנולוג בעל וותק של 10 שנים בעולם המחשוב ואבטחת המידע. כשהוא לא מתעסק בדברים שאפשר לפרק אותם, הוא לפעמים גם צונח חופשי, צולל (לא חופשי) ועושה עוד כל מיני דברים שמתחילים בצ'. מחזיק בתעודת תואר ראשון במנהל עסקים (על הקיר בשירותים) ותעודת Microsoft MVP (על הקיר בכניסה לבית). החל משנת 2007, עוסק במה שהוא הכי אוהב בעולם, מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.