חור אבטחה: הודעות ה-SMS באייפון שלך חשופות לעולם

במסגרת כנס pwn2own הנערך באופן שנתי, נדרשים חוקרים למצוא פרצות אבטחה בדפדפנים השונים ובמערכות ההפעלה למכשירים ניידים. השנה זכו בכנס זוג חוקרים שהצליחו לפרוץ למערכת ההפעלה של האייפון באמצעות חור אבטחה בדפדפן הספארי-מובייל. עוד נפרצו בכנס: Internet Explorer, Firefox ודפדפן הספארי הרגיל. היחיד שנשאר עומד: דפדפן הכרום של גוגל.

כחלק מתחרות pwn2own 2010 שנערכה השבוע, בא נדרשו המשתתפים למצוא ונצל פרצות אבטחה בדפדפנים ובמערכות הפעלה למכשירים ניידים, הצליחו שני חוקרי אבטחת מידע לפרוץ למכשיר האייפון באמצעות חור במנגנון האבטחה של דפדפן המובייל-ספארי המותקן על האייפון.

החוקרים, וינצ’נזו איוזו וראלף פיליפ ויינמן, הדגימו את הפריצה אשר נעשית באמצעות גלישה עם מכשיר אייפון (לא פרוץ ומעודכן לגרסה העדכנית ביותר של מערכת ההפעלה) אל תוך אתר שנבנה במיוחד לצורך התחרות. באמצעות סקריפט מיוחד שרץ באתר ומנצל חור אבטחה מובנה בדפדפן הספארי, מצליחים החוקרים למשוך מהמכשיר את מסד הנתונים המלא של הודעות הטקסט השמורות במכשיר, כולל אפילו הודעות שנמחקו בעבר.

לדברי החוקרים, העבודה על הפריצה לקחה כשבועיים ולטענתם, ניתן לבצע שימוש באותו חור אבטחה על-מנת לגנות גם את רשימת אנשי הקשר במכשיר, תמונות וקבצי iTunes. בשלב זה אין לא פורסמו פרטים נוספים לגבי אופי חור האבטחה, למעט העובדה שהטלפון שנפרץ היה iPhone 3GS בגרסת מערכת הפעלה 3.1.3 (העדכנת ביותר). החוקרים ציינו כי חור האבטחה שנתגלה לא היה ידוע עד עכשיו וכי הם העבירו את פרטי הפריצה לאפל על-מנת שזאת תוכל לשחרר תיקון לחור האבטחה בהקדם האפשרי. זוג החוקרים זכה בפרס כספי של 15,000$ כחלק מתחרות ה-pwn2own וזכה אף לשמור את מכשיר האייפון הפרוץ.

בנוסף לחור האבטחה שנתגלה בדפדפן הספארי-מובייל, נתגלו במהלך היום הראשון של הכנס חורי אבטחה נוספים גם בדפדפני ה-Internet Explorer 8 של מיקרוסופט, דפדפן ה-Firefox של מוזילה ודפדפן הספארי הרגיל. בדומה לפריצה במכשיר האייפון, כל הפריצות נבדקו והוכחו כעובדות על גבי מערכת הפעלה בגרסה העדכנית ביותר. המנצח הגדול של הכנס היה דווקא דפדפן הכרום של גוגל, אשר במהלך היומיים הראשונים, בעוד כל האחרים נפלו שוב ושוב, הצליח לעמוד בפני כל המתקפות שנוסו עליו. הכנס הסתיים באופן רשמי לפני מספר שעות

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: