iPhone není prý tak bezpečný, jak Apple tvrdí

6. 2. 2010

Sdílet

Tvrzení společnosti Apple o zabezpečení smartphonu iPhone jsou přehnaná, tvrdí softwarový inženýr a bezpečnostní expert Nicolas Seriot, který prezentoval své názory na iPhone na Black Hat konferenci.

Sandboxing technologie společnosti Apple nedovoluje aplikacím pro iPhone využívat zdroje systému na úrovni jádra, ale tato a jiná omezení jsou "příliš volná" a "Apple by neměl tvrdit, že jedna aplikace nemůže získat data z jiné aplikace," říká Seriot, který pracuje jako trenér programování pro iPhone ve společnosti Sen:te.

Seriot uvedl několik aplikací pro iPhone, včetně programů Aurora Feint a mogoRoad, jež byly nabízeny i na on-line obchodu společnosti Apple App Store, než byly vyřazeny za porušování soukromí, jež zahrnovalo získávání kontaktů uživatele, e-mailů a telefonních čísel z iPhonu. Uživatelé iPhonu mohou být oklamáni, pravděpodobnost, že nadále dochází k podobným problémům je vysoká, zvláště, když iPhone je velmi populární a na trhu je okolo 34 miliónů těchto zařízení. Stává se tak stále více atraktivním cílem pro hackery.

Seriot zkoumá tyto problémy pro nejmenované švýcarské společnosti, které chtějí vědět, jak moc je iPhone bezpečný a zda chrání soukromí. Okolo 8 procent iPhonů je považováno za "zneužitelné", to znamená, že uživatelé vypnou všechny kontroly a opatření za účelem nainstalování jakéhokoli softwaru, ne jen toho, co je k dispozici v App Store, a počet malwaru, který je zaměřen proti nim, začíná růst.

Nicolas Seriot zjistil, že k získání citlivých osobních dat stačí vyvinout program, který využívá známé API iPhonu.

Aby Seriot ilustroval, proč je skeptický ohledně bezpečnosti a ochrany soukromí iPhonu, vyvinul aplikaci, kterou nazval SkyPhone (Není k dispozici přes oficiální Apple iPhone kanály, ale znázorňuje problémy, o kterých mluví). S aplikací SkyPhone je možné nahlédnout do e-mailových adres, uživatelského účtu a serverových informací a to i bez hesla, tvrdí Seriot. Dá se zjistit i nedávné vyhledávání v Safari či Youtube.

Pokud iPhone přistupuje k Wi-Fi síti, informace o tom, která síť je využívána, jsou nechráněné, stejně tak "moje telefonní číslo a poslední číslo, které jsem volal," píše Seriot, jenž dal k dispozici demo verzi SkyPhone aplikace, kterou vyvinul. "Co dál? Lokace. Když iPhone aplikace zjišťuje pozici uživatele, využívá paměť mapové aplikace."

Seriot se domnívá, že společnost Apple by měla vytvořit pro iPhone něco jako aplikační firewall, aby uživatel byl informován o tom, jaká akce se spouští a mohl tomu zabránit, například, když se aplikace snaží dostat do telefonního seznamu.

Nicméně Seriot dodává, že není příznivcem změny současných bezpečnostních mechanizmů tak, aby výrobci antimalwarového softwaru mohli chránit proti malwaru nebo obstarávat jiné bezpečnostní funkce. Spousta výrobců zabývajících se bezpečnostní se bude snažit, aby Apple změnil iPhone tak, aby na něm bylo možné využívat jejich software, Seriot se ovšem domnívá, že tito výrobci pouze hledají další trh pro jejich produkty.