PIN nedokáže ochránit iPhone

Čtyřmístný PIN nedokáže zamezit útočníkovi v přístupu k datům na telefonu iPhone. Bezpečnostní výzkumník Bernd Marienfeldt zjistil, že zranitelná jsou zařízení iPhone 3GS s různými verzemi operačního systému včetně toho nejaktuálnějšího.


 Asi hlavní potíž je v tom, že na rozdíl od jiných zranitelností se tato týká i „originálního“ iPhonu, tedy nejen zařízení, na něž byl aplikován jailbreaking. Základní postup zneužití je jednoduchý. Nalezený či ukradený PINem chráněný iPhone se připojí k počítači s aktuálním systémem Ubuntu Lucid Lynx – aktuálnost lze ověřit pomocí příkazů upt-get, upd-get upgrade, postup nemusí fungovat ve virtualizovaných prostředích. Následně lze vidět prakticky veškerá data (hudba, fotografie, videa, hlasové záznamy...) ve složce DCIM, z iPhonu lze data nejen kopírovat, ale i do něj zapisovat a tento postup po sobě nezanechá prakticky žádné stopy.

Možnost zapisovat data na iPhone by konec konců mohla s použitím nějaké metody buffer overflow umožnit provádět už úplně cokoliv – třeba i telefonovat (to se ale Marienfeldtovi demonstrovat nepodařilo).

Je jasné, že problém se týká především podnikových zákazníků, kteří spoléhají na to, že veškerý obsah iPhonu je v případě zamčení de facto zašifrován. Přitom Apple podle amerického PC Worldu dodává firemním uživatelům až 40 % prodaných iPhonů.

 











Komentáře