Atacul iPhone pentru a fi dezlănțuit la Black Hat

Apple a avut mai mult de o zi în urmă pentru a patch-uri o eroare în software-ul iPhone, care ar putea permite hackerilor să preia iPhone-ul, doar prin trimiterea mesajului SMS (Short Message Service). a fost descoperit de cunoscutul hacker al iPhone-ului Charlie Miller, care a vorbit mai întâi despre această problemă la conferința SyScan din Singapore. La acea vreme, a spus că a descoperit o modalitate de a prăbuși iPhone-ul prin SMS și că a crezut că accidentul ar putea duce în cele din urmă la codul de atac de lucru. De atunci, el a muncit din greu și acum spune că este capabil să preia iPhone-ul cu o serie de mesaje SMS rău intenționate. Într-un interviu marți, Miller a spus că va arăta cum se poate face acest lucru în timpul unei prezentări la conferința de securitate Black Hat din Las Vegas, joi, împreună cu cercetătorul de securitate Collin Mulliner.

[Citire suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

"SMS-ul este un vector incredibil de atac pentru telefoanele mobile", a spus MIller, analist la Independent Security Evaluators. "Tot ce am nevoie este numărul dvs. de telefon Nu am nevoie să faceți clic pe un link sau pe orice altceva."

Miller a raportat defecțiunea Apple la aproximativ șase săptămâni în urmă, dar producătorul iPhone nu a lansat încă un patch pentru această problemă. Reprezentanții Apple nu au putut fi contactați pentru comentarii, dar compania de obicei păstrează liniște despre defectele software până când va lansa un patch.

Dacă va lansa un patch înainte de Black Hat, Apple nu va fi singur. Microsoft a trebuit să se amestece pentru a lansa o soluție de urgență pentru o problemă în biblioteca sa activă de șabloane (ATL), utilizată pentru a construi controale ActiveX. Acest patch de tip "out-of-cycle" a fost lansat marți, înaintea unei alte prezentări Black Hat pe această vulnerabilitate particulară.

Atacul lui Miller nu apare, de fapt, shellcode - atacatorii software de bază folosesc ca piatră de temelie pentru a lansa programe proprii pe o mașină hacked - dar îi permite să controleze instrucțiunile care se află în procesorul telefonului. Cu toate că este o tehnologie veche, SMS-ul este un domeniu promițător de cercetare în domeniul securității, deoarece cercetătorii din domeniul securității utilizează capacitățile puternice de calcul a iPhone-ului și Android-ului Google pentru a arunca o privire mai atentă la modul în care funcționează în rețelele mobile.

Joi, alți doi cercetători, Zane Lackey și Luis Miras, vor arăta cum pot răsfoi mesajele SMS care în mod normal ar fi trimise numai de servere pe transportator. Acest tip de atac ar putea fi folosit pentru a schimba setările telefonului cuiva, pur și simplu prin trimiterea unui mesaj SMS.

Miller consideră că este posibil să apară mai multe autobuze SMS, iar pentru a le găsi, el și Mulliner au dezvoltat un SMS "fuzzing ", care poate fi folosit pentru a ciocni un dispozitiv mobil cu mii de mesaje SMS, fără a trimite efectiv mesaje prin rețeaua fără fir (un efort costisitor).

Instrumentul, pe care îl numește Injector, rulează pe sistemul de operare iPhone, Telefoane mobile Android și Windows Mobile

Instrumentul se inserează între procesorul computerului și modem și face ca mesajele SMS să vină cu adevărat prin modem, de fapt când sunt generate de telefon.