Czy Safari jest bezpieczne?

Rosnąca liczba aplikacji sieciowych dla telefonu iPhone (na liście Apple znajduje się ich ponad 600) sprawia, że coraz bardziej istotną rolę odgrywa przeglądarka Mobile Safari. Tym bardziej niebagatelna jest ocena jej poziomu bezpieczeństwa.
Ostatnio odkryto w przeglądarce lukę umożliwiającą wykonanie ataku typu Denial of Service (DoS). Odkrywcy luki poszukiwali sposobu na odblokowanie systemu plików iPhone‘a przy pomocy najnowszego oprogramowania typu firmware (1.1.3) Wejście do systemu pozwala na pobieranie dzwonków i aplikacji pochodzących z innych stron niż wskazane przez Apple. W efekcie odkryto, że najnowszy firmware umożliwia automatyczne odblokowanie iPhone’a poprzez odwiedzenie pewnej spreparowanej witryny za pomocą przeglądarki Mobile Safari. Wspomniana luka DoS może zostać wykorzystana po odwiedzeniu tej odpowiednio spreparowanej strony i kliknięciu jednego przycisku.

Obrazek 1 – Kliknięcie przycisku “Go!” wykorzystuje lukę.
Po kliknięciu pojawi się ostrzeżenie, a następnie uruchomi się złośliwy kod.

Obrazek 2 – Spreparowana strona wyświetla ostrzeżenie.

Po pojawieniu się ostrzeżenia, iPhone przestanie reagować na polecenia. Dotykanie ekranu lub naciskanie przycisku Home nie przyniesie żadnych rezultatów. Po minucie telefon samoczynnie się zresetuje.
Wykryta luka DoS jest częściowo oparta na kodzie JavaScript ze strony projektu the Month of Browser Bugs (MOBB). Podczas MoBB grupa specjalistów ds. zabezpieczeń codziennie publikowała jedną lukę dotyczącą przeglądarek stron internetowych. Oryginalna wersja ‘dziury’ atakowała przeglądarkę dla komputerów Desktop, natomiast wersja zmodyfikowana zapełnia pamięć i uszkadza telefon komórkowy IPhone.

Na szczęście eksperci nie mieli wystarczająco czasu ani ochoty na stworzenie bardziej kłopotliwej luki. Omawiany błąd nie wykrada danych ani nie uszkadza telefonu na stałe, a jedynie sprawia, ze telefon jest przez chwilę nieaktywny.
Podczas gdy spreparowana strona wymaga naciśnięcia przycisku „Go” zanim luka zostanie wykorzystana, bardziej złośliwa strona mogłaby tego dokonać bez ostrzeżenia. Możliwe jest uniknięcie zagrożenia związanego z wykorzystaniem opisanej tu luki DoS, jednak kosztem dostępu do niektórych aplikacji webowych. Skrypt Java może zostać bowiem wyłączony w menu Home > Settings > Safari.

Obrazek 3 – Zmiana ustawień przeglądarki Mobile Safari

Przedstawiony przykład błędu przeglądarki Mobile Safari jest jeszcze jednym dowodem na tezę wynikającą z badań trendów zagrożeń komputerowych na świecie – rok 2008 przyniesie odkrycie wielu nowych, coraz bardziej zaawansowanych ataków na urządzenia mobilne. Tendencja ta wynika z jednej strony z coraz większego upodobnienia funkcji urządzeń mobilnych do komputerów stacjonarnych, ale także z rosnącej popularności takich urządzeń oraz coraz większej ilości wrażliwych danych przechowywanych na nich, które mogą być interesujące dla hakerów.

Zapraszamy też do nowego działu: TECH