Nem sokkal azután, hogy az Apple közzétette az iPhone-okon és iPod touchokon futó iOS operációs rendszer frissítését, egy hacker nyilvánosságra hozta azt a kódot, amely két sebezhetőséget kihasználva bármilyen alkalmazás telepítését megengedi ezekre a készülékekre.
Az Apple mobil eszközein futó iOS 4 böngészője olyan PDF-kezeléssel kapcsolatos sebezhetőséget tartalmazott, amelyet kihasználva pofonegyszerűen "jailbreakelhető", vagyis nem csak az Apple által ellenőrzött, jóváhagyott szoftverek telepíthetők rá, hanem bármilyen program. Az iPhone-töréseiről ismert iPhone Dev Team már augusztus elején kidolgozott egy módszert, amely a sebezhetőség segítségével "jailbreakeli" a telefont anélkül, hogy ehhez bármiféle bonyolult műveletre vagy PC-kapcsolatra lenne szükség. A videomegosztó oldalakat gyorsan elárasztották olyan filmek, amelyeken az Apple boltjába az utcáról besétáló hackerek törnek fel a kiállított iPhone-okat néhány másodperc alatt.
A Comex becenevű hacker, a JailbreakMe 2.0 fejlesztője általközkinccsé tett kódot akár támadásokra is fel lehet használni, elég egy iPhone vagy iPof touch böngészőjében egy előre preparált weboldalt megnyitni, és tetszőleges program telepíthető a készülékre, akár kártevő is. Biztonsági szakértők körében természetesen nagy vihart kavart az ügy. "Impresszív, de ugyanakkor veszélyes" - kommentálta a történteket Mikko Hypponen, az F-Secure szakértője. Dino Dai Zovi, ismert Mac-hacker szerint nem kell hozzá hosszú idő, hogy a kiadott példakód bekerüljön a Metasploit behatolá-sellenőrző eszközbe, amelyet hackerek is gyakran használnak.
A szóban forgó sebezhetőségeket az Apple a szerdán kiadott iOS 4.0.2 (iPad esetén iOS 3.2.2) verzióban befoltozta, ez azonban csak az iPhone 3G és újabb telefonokra, valamint a második generációnál újabb iPod touch lejátszókra érhető el. Az első generációs iPhone-ok és iPod touchok továbbra is sebezhetők maradtak. Ezekre a készülékekre csak később érkezik a javítás. Hypponen blogbejegyzése szerint egyelőre nincsenek információk olyan támadásokról, amelyek ezt a PDF-sérülékenységet használnák ki, ennek ellenére mindenki számára ajánlott a mielőbbi frissítés, ugyanis a kódok nyilvánosságra kerülésével megnőtt a kockázat.
Forrás: www.hwsw.hu
Nincsenek megjegyzések:
Megjegyzés küldése