iOS od Applu obsahuje nebezpečné chyby umožňující krádež dat

9. 7. 2011

Sdílet

Apple tento týden informoval, že pracuje na záplatách zranitelností v přístrojích iPhone, iPad a některých modelech iPod touch. Ty mohou být zneužity k odcizení citlivých dat.

Před problémem varovala například i německá vláda a chyby tohoto typu v iOS jsou poměrně nebezpečné i proto, že přístroje Applu se používají v řadě firem či státních organizacích. Chyby byly publikovány tento týden spolu s novým vydáním JailbreakMe 3.0, který umožňuje instalaci neautorizovaných aplikací na iPhone či iPad.

Apple instalování neautorizovaných aplikací, které nejsou dostupné v rámci App Store, zakazuje, ale mezi uživateli jde o poměrně oblíbenou praktiku. Na stejný problém pak upozornila i německá Federální kancelář pro informační bezpečnost (známá pod zkratkou BSI), jejíž zástupci tvrdí, že přístroje Applu mobou být exploitovány otevřením speciálně upraveného PDF dokumentu. Chyba se týká parsovaných fontů v iOS, které jsou používány mobilní verzí prohlížeče Safari.

Tím ale výčet chyb nekončí. Existuje totiž i druhá zranitelnost, která umožňuje obejít bezpečnostní technologii ASLR (Address space layout randomization), která má randomizovat adresaci paměťového prostoru a ztížit případnému útočníkovi exploitování systému.

BSI tvrdí, že zranitelné jsou všechny přístroje s iOS do verze 4.3.3, tedy jak smartphony iPhone, tak tablety iPad a přehrávače iPod Touch. Paradoxem je, že jeden z hackerů, kteří stojí za projektem JailbreakMe vystupující pod přezdívkou Comex již publikoval vlastní záplatu nazvanou PDF Patcher 2, která je k dispozici v alternativním obchodě s aplikacemi Cydia app store. Ovšem tato záplata funguje jen na jailbreakovaných přístrojích. Hacker situaci ironicky komentuje slovy, že dokud Apple nevydá aktualizaci iOS, bude jailbreaking nejlepší cestou, jak udržet svůj přístroj bezpečný.