Izraelský bezpečnostní expert Aviv Raff zveřejnil podrobnosti o bezpečnostních zranitelnostech v novém Apple iPhone 3G. Podle něj ho k tomuto kroku přiměla reakce firmy Apple, která ani za dva a půl měsíce po upozornění na tato rizika problémy neodstranila. Ačkoliv byly mezitím uvolněny tři verze softwaru (2.0.1, 2.0.2 a 2.1), zranitelnosti opraveny nebyly.
Problémy se týkají poštovního programu a prohlížeče Safari. Mají spočívat například v tom, že kvůli velikosti displeje se nezobrazuje celé URL. Podvodníci mohou této skutečnosti snadno zneužít; do skryté části URL lze zadat třeba přesměrování (nebo vytvořit adresu ve stylu legalnidomena.com.podvodnadomena.com). Raff demonstroval útok tak, že vytvořil odkaz, který se pro uživatele tvářil jako přihlašovací stránka na Facebook, ve skutečnosti ale směřoval do úplně jiné domény.
Uživatelé iPhone by tedy pokud možno na odkazy přišlé e-mailem neměli vůbec klikat, protože jinak jsou proti phishingu bezbranní. Další zranitelnost má být přítomna přímo v návrhu. Spammeři mohou snadno odlišit platné a neplatné e-mailové adresy a ty používané zaplavit spamem. Je to dáno tím, že iPhone automaticky stahuje obrázky v příloze a toto nastavení nelze nijak vypnout (zaznamenaná stažení obrázku je tedy signálem o tom, že adresa je platná). Podobná chyba byla objevena i v poštovním klientovi pro Mac OS X, zde ji však už Apple opravil. |
Zdroj: Computerworld.com
Aviv Raff již v minulosti radikálním způsobem zveřejnil chybu v prohlížeči Internet Explorer - viz článek na SecurityWorldu Internet Explorer má obsahovat vážnou chybu, její zveřejnění ale je kontroverzní.