IPhone SMS útok, který má být rozpuštěn v Black Hatu

Apple má jen něco víc než jeden den, aby mohl opravit chybu v iPhone software, který by mohl nechat hackerům převzít iPhone, a to pouze vysíláním a zprávou SMS (Short Message Service). byl objeven známý iPhone hacker Charlie Miller, který nejprve hovořil o problému na konferenci SyScan v Singapuru. V té době řekl, že objevil způsob, jak by mohl způsobit havárii iPhone prostřednictvím SMS, a že si myslel, že havárie může nakonec vést k útoku na útok.

Protože pak pracoval tvrdě a teď říká, že je schopný převzít iPhone se sérií škodlivých zpráv SMS. V rozhovoru v úterý uvedl Miller, že to ukáže, jak to může být provedeno během prezentace na konferenci Black Hat v Las Vegas ve čtvrtek s bezpečnostním badatelem Collinem Mullinorem.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

"SMS je neuvěřitelný útok na mobilní telefony," uvedl MIller, analytik společnosti Independent Security Evaluators. "Vše, co potřebuji, je vaše telefonní číslo. Nepotřebuji, abyste klepnul na odkaz nebo cokoli jiného."

Miller oznámil chybu společnosti Apple asi před šesti týdny, ale tvůrce iPhone ještě nevydal patch pro tuto záležitost. Zástupci společnosti Apple se nemohli dostat k připomínkám, ale společnost zpravidla mlčí o softwarových vadách, dokud neuvolní opravu.

Pokud uvolní předběžnou Black Hat patch, Apple nebude sám. Společnost Microsoft se musela vyškrábat, aby vydala nouzovou opravu pro problém v knihovně Active Template (ATL), která byla použita k vytvoření ovládacích prvků ActiveX. Tato chyba "mimo cyklus" vyšla v úterý, před další prezentací Black Hat o této zranitelnosti.

Millerův útok ve skutečnosti nevyvolává shell kód - používají základní softwarové útočníky jako odrazový můstek vlastní programy v počítači s napadeným počítačem - ale umožňuje mu ovládat pokyny, které jsou v procesoru telefonu. S určitou další prací by někdo mohl využít tuto explozi a spustit shell kód, řekl Miller.

Ačkoli je to stará technologie, SMS se objevuje jako slibná oblast bezpečnostního výzkumu, protože vědci v oblasti bezpečnosti používají výkonné výpočetní schopnosti iPhone a Google Android aby se podrobněji seznámil s tím, jak funguje v mobilních sítích.

Ve čtvrtek další dva vědci, Zane Lackey a Luis Miras, ukážou, jak mohou spoofovat SMS zprávy, které by obvykle odesílaly servery pouze na nosiči. Tento typ útoku může být použit pro změnu nastavení někoho, a to jednoduše zasláním SMS zprávy.

Miller se domnívá, že je pravděpodobné, že se objeví více SMS sběrnice a pomohl je najít, on a Mulliner vytvořili SMS "fuzzing "nástroj, který může být používán k tomu, aby kladl na mobilní zařízení tisíce SMS zpráv, aniž by skutečně posílalo zprávy přes bezdrátovou síť (nákladné úsilí).

Nástroj, který nazývá Injector, běží na iPhone OS, Android a mobilní telefony se systémem Windows Mobile.

Nástroj se vkládá mezi počítačový procesor a modem, a vypadá to, že zprávy SMS skutečně procházejí modemem, když jsou skutečně generovány telefonem.