Apple opravuje chyby v iPhonu a iPodu, je jich celkem pět

4. 2. 2010

Sdílet

Firma Apple vydala záplaty na pět potencionálně nebezpečných děr v operačním systému telefonu iPhone a přehrávače iPod. Které chyby společnost opravila a jak vážné byly?

Poslední update operačního systému iPhone vydal Apple již před pěti měsíci, tedy v září loňského roku. Tři z nově opravených děr Apple označil, „umožňují spuštění libovolného kódu v zařízení“, z čehož vyplívá, že se jednalo o kritické problémy. Apple bohužel nepoužívá stupnicové hodnocení nebezpečnosti děr, které je známé například od Microsoftu nebo Oraclu a k označení nebezpečnosti nám musí stačit slovní popis.

Jednu ze zranitelností objevil Andrew Storms, ředitel bezpečnosti firmy nCircle. Chyba se podle něj nachází v recovery modu iPhonu, který se používá pro jeho obnovení v případě potíží. Díky tomuto režimu se tak člověk s fyzickým přístupem telefonu, dokáže obejít zabezpečení a dostat se tak k datům uživatele. Jinak řečeno, při ztrátě telefonu máte svá data sice pod heslem, dostane se na ně ale téměř každý. Storms dodává, že tuto chybu opravoval Apple už v updatu ze září a popis současné chyby vypadá velice podobně. Situace se tedy opakuje a oprava zřejmě nebyla dostatečná.

Do třetice oznámil Apple podobné problémy už v roce 2008, firma totiž zapomněla opravit bug, který umožňoval obejít zamknutí telefonu vytočením tísňového volání a následným dvojitým stiskem tlačítka Home.  Chybu Apple napravil v lednu 2008, opětovně se objevila v iPhone 2.0 a k nápravě došlo až o měsíc později.

Vraťme se ale k dnes objeveným chybám. Krom jedné, výše jmenované, nejsou podle Stormse ostatní tak vážné (a to i přesto, že je Apple označil poměrně závažně znějícími slovy) a prý se není čeho obávat. Pozitivní je poměrně malé číslo objevených chyb a také to, že žádná z nich není vážnou chybou Web-Kitu, který Apple používá jako základ svého prohlížeče Safari na iPhonu i iPadu.  Vážná zranitelnost tohoto prvku by mohla ohrozit uživatele spuštěním nebezpečného kódu při návštěvě webové stránky. Situace naštěstí tak vážná není.

Jedna ze dvou chyb nalezených ve Web-Kitu se týká práce s externími audio a video soubory v HTML 5. Odesílatel zprávy může chybu využít ke zjištění, zda zpráva byla přečtena či ne, opět se tedy nejedná o vážnou chybu bezprostředně ohrožující data uživatele. Podle Stormse to však nelze brát na lehkou váhu, spameři mohou chybu využít například ke zjištění, kolik obětí si přečte rozeslané spamové zprávy. A to může pro spamera znamenat stěžejní statistiku pro další postup jeho „práce“.