Rosnąca liczba aplikacji sieciowych dla telefonu iPhone (na liście Apple znajduje się ich ponad 600) sprawia, że coraz bardziej istotną rolę odgrywa przeglądarka Mobile Safari. Tym bardziej niebagatelna jest ocena jej poziomu bezpieczeństwa.
Ostatnio odkryto w przeglądarce lukę umożliwiającą wykonanie ataku typu Denial of Service (DoS). Odkrywcy luki poszukiwali sposobu na odblokowanie systemu plików iPhone‘a przy pomocy najnowszego oprogramowania typu firmware (1.1.3) Wejście do systemu pozwala na pobieranie dzwonków i aplikacji pochodzących z innych stron niż wskazane przez Apple. W efekcie odkryto, że najnowszy firmware umożliwia automatyczne odblokowanie iPhone’a poprzez odwiedzenie pewnej spreparowanej witryny za pomocą przeglądarki Mobile Safari. Wspomniana luka DoS może zostać wykorzystana po odwiedzeniu tej odpowiednio spreparowanej strony i kliknięciu jednego przycisku.
Obrazek 1 – Kliknięcie przycisku “Go!” wykorzystuje lukę.
Po kliknięciu pojawi się ostrzeżenie, a następnie uruchomi się złośliwy kod.
Obrazek 2 – Spreparowana strona wyświetla ostrzeżenie.
Po pojawieniu się ostrzeżenia, iPhone przestanie reagować na polecenia. Dotykanie ekranu lub naciskanie przycisku Home nie przyniesie żadnych rezultatów. Po minucie telefon samoczynnie się zresetuje.
Wykryta luka DoS jest częściowo oparta na kodzie JavaScript ze strony projektu the Month of Browser Bugs (MOBB). Podczas MoBB grupa specjalistów ds. zabezpieczeń codziennie publikowała jedną lukę dotyczącą przeglądarek stron internetowych. Oryginalna wersja ‘dziury’ atakowała przeglądarkę dla komputerów Desktop, natomiast wersja zmodyfikowana zapełnia pamięć i uszkadza telefon komórkowy IPhone.
Na szczęście eksperci nie mieli wystarczająco czasu ani ochoty na stworzenie bardziej kłopotliwej luki. Omawiany błąd nie wykrada danych ani nie uszkadza telefonu na stałe, a jedynie sprawia, ze telefon jest przez chwilę nieaktywny.
Podczas gdy spreparowana strona wymaga naciśnięcia przycisku „Go” zanim luka zostanie wykorzystana, bardziej złośliwa strona mogłaby tego dokonać bez ostrzeżenia. Możliwe jest uniknięcie zagrożenia związanego z wykorzystaniem opisanej tu luki DoS, jednak kosztem dostępu do niektórych aplikacji webowych. Skrypt Java może zostać bowiem wyłączony w menu Home > Settings > Safari.
Obrazek 3 – Zmiana ustawień przeglądarki Mobile Safari
Przedstawiony przykład błędu przeglądarki Mobile Safari jest jeszcze jednym dowodem na tezę wynikającą z badań trendów zagrożeń komputerowych na świecie – rok 2008 przyniesie odkrycie wielu nowych, coraz bardziej zaawansowanych ataków na urządzenia mobilne. Tendencja ta wynika z jednej strony z coraz większego upodobnienia funkcji urządzeń mobilnych do komputerów stacjonarnych, ale także z rosnącej popularności takich urządzeń oraz coraz większej ilości wrażliwych danych przechowywanych na nich, które mogą być interesujące dla hakerów.
Zapraszamy też do nowego działu: TECH
Wpisy promowane
- Niezbędne narzędzie w każdej firmie – przewodnik po wózkach transportowychW przestrzeniach takich jak magazyny, fabryki czy warsztaty, gdzie codziennie zarządza się ciężkimi i nieporęcznymi przedmiotami i towarami, nieocenioną wartość ...
- Jak agencja marketingowa Directan Plus pomaga firmom w pozyskiwaniu cennych leadów sprzedażowychPozyskiwanie leadów sprzedażowych stanowi podstawowy element każdej strategii marketingowej. Lead to potencjalny klient, który wykazał zainteresowanie usługą lub produktem poprzez ...
Wydarzenia
Brak Patronatów
Najnowsze wpisy
- BaseLinker Index: Wzrosty sprzedaży online w marcuAnalitycy platformy BaseLinker– największego w regionie CEE systemu do zarządzania i automatyzacji sprzedaży online – opracowali właśnie najnowszy odczyt BaseLinker ...
- Packeta Poland: Analiza polskiego rynku e-commerce w branży modyW ostatnich latach polski rynek e-commerce w branży mody przeżywa dynamiczny rozwój. Według danych statista.com, liczba zamówień online w tej ...
- W lutym e-sklepy IdoSell rosły szybciej niż rynekSklepy internetowe, które korzystają z usług IdoSell, rosną znacznie szybciej niż rynek e-commerce w Polsce. Tak wynika z danych Grupy ...
- Dłuższy luty zwiększył sprzedaż – nowy raport BaseLinkerAnalitycy platformy BaseLinker– największego w regionie CEE systemu do zarządzania i automatyzacji sprzedaży online – opracowal najnowszy odczyt BaseLinker Index. ...
Zapoznaj się z ofertą wpisów promowanych oraz zasadami udzielania patronatów.