פירצה חדשה ב-iOS מאפשר לפורצים לגנוב לכם תמונות וספרי כתובות מהמכשיר
צמד חוקרי אבטחה הולנדיים הצליחו למצוא פרצת אבטחה במנוע ה-Webkit, באמצעותו יכולים לגנוב תמונות, ספרי טלפונים והיסטוריית גלישה – מבלי שהמשתמש יהיה מודע לכך
במסגרת תחרות Pwn2Own שנערכה השבוע באמסטרדם, הצליחו שני חוקרי אבטחה לעלות על פרצת אבטחה במכשירים המריצים את מערכת ההפעלה iOS, המאפשרת להם להעלות תמונות, ספרי כתובות והיסטוריית דפדפן של המשתמשים אל כל שרת שרק ירצו – מבלי שבעלי המכשירים יהיו מודעים לכך.
פריצה ותיקון
השבוע נערכה באמסטרדם תחרות Pwn2Own, תחרות האקינג במסגרתה מתבקשים המשתתפים לחשוף ולנצל חולשות במגוון רחב של תוכנות. השנה, נערכת במסגרת הכנס תחרות Pwn2OwnMobile במסגרתה התבקשו המתחרים למצוא חולשות שלא היו ידועות בעבר במגוון פלטפורמות המובייל השונות. המטרה האמיתית של התחרות היא להדגים כמה חולשות קיימות במכשירים הנפוצים בשוק, לבדוק את התפתחות שוק האבטחה לעומת שנים קודמות וכמובן לסייע לחברות המפתחות את הפלטפורמות לסגור את חורי האבטחה המתגלים.
במסגרת התחרות שנערכה השנה, הציגו צמד חוקרי אבטחה הולנדים, בשם ג'וסט פול (Joost Pol) ודאן קיופר (Daan Keuper) מחברת האבטחה Certified Secure פגם אבטחה הקיים ב-Webkit, מנוע הנמצא בדפדפנים כגון ספארי וכרום המאפשר להם לבצע "תרגום" (Render) לדפי האינטרנט המוצגים למשתמש. מדובר על מנוע נפוץ במיוחד, אותו ניתן למצוא במערכות iOS, אנדרואיד, בלאקברי ואפילו webOS – כך שפרצת האבטחה מסוכנת כמעט לכל משתמש סלולרי.
פגם האבטחה שגילו החוקרים מנצל חולשה בדפדפן, מצליח לעקוף את פרוטוקול האבטחה שלו ובכך יכולים ההאקרים לגשת אל התמונות, ספר הכתובות והיסטוריית הגלישה של המשתמשים, ולהעלות אותם לכל שרת שרק יבחרו ללא אישור המשתמש.
סיכון מקוון
בתחרות, הציגו חוקרי האבטחה כיצד ניתן ליישם את הפרצה על גבי מכשיר אייפון 4S, המריץ את גרסת iOS 5.1.1. את הקוד הזדוני ניתן להטמיע במודעות, באנרים או כל תוכן שהמשתמש נחשף אליו במהלך גלישה, כאשר אין צורך שילחץ על המודעה או הבאנר המדוברים, אלא נחשף לפריצה אוטומטית, בזכון מנגנון ה-Webkit הרץ עם טעינת האתר.
את כלי הפריצה שהשתשתמשו בו החוקרים, בנו תוך מספר שבועות בודדים עם השקעה מינימלית מצידם. כלומר, החוקרים מבהירים כי לא צריך יותר מידי זמן והשקעה על מנת לקבל גישה למידע של המשתמשים, אלא רק רצון וכוונה להרע. כמובן שהחוקרים לא הסבירו כיצד בדיוק ניתן לנצל את חור האבטחה, בטענה שאינם מעוניינים שהאקרים אכן יתחילו להשתמש בו.
אך במידה וחשבתם שעדכון האייפון לגרסת iOS 6 יעזור לכם, חוקרי האבטחה ציינו כי החולשה קיימת גם בגרסת המפתחים של iOS 6, כך שניתן לצפות שתהיה "זמינה" גם באייפון 5, ועל גבי מגוון מכשירי אפל שיעודכנו לגרסת מערכת ההפעלה החדשה.
עבור גילוי זה, זכו החוקרים בתחרות וקיבלו לצד זוג מכשירי אייפון 4S גם פרס כספי של 30 אלף דולרים. מארגני התחרות יידעו את אפל על החולשה המדוברת והבהירו כי לא מדובר בחולשה מצד אפל, אלא מצד מנוע ה-Webkit. כעת, כל מה שהמשתמשים יכולים לעשות הוא להמתין לעדכון אבטחה רשמי – ונקווה שזה יגיע כמה שיותר מהר.
הגב
3 תגובות על "פירצה חדשה ב-iOS מאפשר לפורצים לגנוב לכם תמונות וספרי כתובות מהמכשיר"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
אם זה ב-WEBKIT, איך זה משפיע על אנדרואיד?
אם אני לא טועה הדפדפן של אנדרואיד שמגיעה built-in וכרום לאנדרואיד מבוססים webkit
אוקי, אז אני חוזר על שאלתי, איך זה משפיע על אנדרואיד? האם גם שם יש את הפגיעות הזו?