iPhone: Rozzlobený výzkumník zveřejnil podrobnosti o bezpečnostních dírách

Problémy se týkají poštovního programu a prohlížeče Safari. Mají spočívat například v tom, že kvůli velikosti displeje se nezobrazuje celé URL. Podvodníci mohou této skutečnosti snadno zneužít a vytvořit podvodný odkaz. Problémem je i to, že spammeři mohou snadno odlišit platné e-mailové adresy.



Izraelský bezpečnostní expert Aviv Raff zveřejnil podrobnosti o bezpečnostních zranitelnostech v novém Apple iPhone. Podle něj ho k tomuto kroku přiměla reakce firmy Apple, která ani za dva a půl měsíce po upozornění na tato rizika problémy neodstranila. Ačkoliv byly mezitím uvolněny tři verze softwaru (2.0.1, 2.02 a 2.1), zranitelnosti opraveny nebyly.
Problémy se týkají poštovního programu a prohlížeče Safari. Mají spočívat například v tom, že kvůli velikosti displeje se nezobrazuje celé URL. Podvodníci mohou této skutečnosti snadno zneužít; do skryté části URL lze zadat třeba přesměrování (nebo vytvořit adresu ve stylu legalnidomena.com.podvodnadomena.com). Raff demonstroval útok tak, že vytvořil odkaz, který se pro uživatele tvářil jako přihlašovací stránka na Facebook, ve skutečnosti ale směřoval do úplně jiné domény.
Uživatelé iPhone by tedy pokud možno na odkazy přišlé e-mailem neměli vůbec klikat, protože jinak jsou proti phishingu bezbranní.
Další zranitelnost má být přítomna přímo v návrhu. Spammeři mohou snadno odlišit platné a neplatné e-mailové adresy a ty používané zaplavit spamem. Je to dáno tím, že iPhone automaticky stahuje obrázky v příloze a toto nastavení nelze nijak vypnout (zaznamenaná stažení obrázku je tedy signálem o tom, že adresa je platná). Podobná chyba byla objevena i v poštovním klientovi pro Mac OS X, zde ji však už Apple opravil.

Zdroj: Computerworld.com

Aviv Raff již v minulosti kontroverzním způsobem zveřejnil chybu v prohlížeči Internet Explorer
Internet Explorer má obsahovat vážnou chybu, její zveřejnění ale je kontroverzní

Viz také:
Apple opravil Safari pro iPhone
Prohlížeče pro mobilní zařízení zvyšují riziko phishingu










Komentáře