Demonštrácia získania kontroly nad iPhonom iba návštevou stránky

DSL.sk, 23.11.2007

Odborník na počítačovú bezpečnosť Rik Farrow zverejnil skôr tento mesiac video, v ktorom demonštruje získanie plnej kontroly nad iPhonom využitím chyby iba návštevou webovej stránky prehliadačom Safari.

Hoci použitá chyba aj nástroje sú už staršieho dáta, demonštrácia naznačuje jednoduché získanie kontroly nad iPhonom a možnosti po získaní takejto kontroly. Špeciálne u iPhonu môže mať chyba v prehliadači a jej zneužitie vážne dôsledky.

Keďže na iPhone beží webový prehliadač pod root účtom, zneužitím chyby v prehliadači je možné priamo získať kompletnú a úplnú kontrolu nad iPhonom. Zároveň keďže iPhone je väčšinou trvalo pripojený Edge sieťou na Internet, útočník si nepozorovane môže z iPhonu sťahovať napríklad nahraté hovory a ďalšiu komunikáciu.

Farrow demonštroval napríklad použitie doinštalovaného nástroja, ktorý nahráva zvuk z miestnosti aj keď sa cez iPhone netelefonuje.

Získanie kontroly nad iPhonom (video: Rik Farrow)

Farrow používal nástroj Metasploit od H. D. Moora a exploit chyby v spracovaní obrázkov formátu Tiff, ktorá bola objavená v polovici októbra a do Metasploitu pridaná na konci mesiaca. V súčasnej verzii firmvéru 1.1.2 je chyba už opravená, samozrejme je pravdepodobné, že v prehliadači Safari pre iPhone sa nachádzajú rovnako ako v ostatných prehliadačoch aj ďalšie chyby.

Prezentované Farrowom nainštalované nástroje a postup ale nie sú reálne použiteľné, vyžadujú ďalšie úpravy. Farrow si napríklad sťahoval nahraté súbory z iPhonu pripojeného cez WiFi na lokálnej sieti cez SSH server. V prípade využívania iPhonu v EDGE sieti tento ale nemá svoju verejnú IP a nedá sa naňho z Internetu pripojiť, pripojenie musí inicializovať vždy softvér doinštalovaný na iPhone.




Najnovšie články:



Diskusia:

FBI Od: FBI | Pridané: 23.11.2007 10:50 It's not a Bug, it's a Feature! - nejako sa tí policajti a FBI do mobilu dostať musia, teraz to len nasiel niekto iný a zverejnil. Odpovedať Hodnotiť:

Peto_MiG Od: Peto_MiG | Pridané: 23.11.2007 11:36 +1 Odpovedať Známka: 0.0 Hodnotiť:

Hatatitla Od: Hatatitla | Pridané: 23.11.2007 17:25 Mne to pripada, akoby tuto stranku pisali MADARI. Niektore nadpisy su ako z madarskeho prekladu. Vid konkretne tento clanok. Slovosled pre redaktorov je asi MADARSKA DEDINA (spanielska dedina). Odpovedať Hodnotiť:

0-9 Od: 0-9 | Pridané: 23.11.2007 18:25 ja som asi tiez madar ale ma slovencina nejaky ustaleny slovosled? Odpovedať Známka: -5.0 Hodnotiť:

9-0 Od: 9-0 | Pridané: 24.11.2007 8:13 sa divil si by! Odpovedať Známka: 9.2 Hodnotiť:

szaga Od: szaga | Pridané: 26.11.2007 2:34 Hatatitla, ti si tomu dal.. Tusim ye si si pomylil forum!! Alebo si bol so Slotom Alkoholikom na frndzalici?? Odpovedať Známka: 8.1 Hodnotiť:

mIREZ Od: mIREZ | Pridané: 23.11.2007 12:06 vyzera ako grasshopper :) Odpovedať Známka: -5.0 Hodnotiť:

Deer Dance Od: Deer Dance | Pridané: 23.11.2007 12:50 mna sko napadla ta babka z filmu SAW hlavne ked na zaciatku tak otoci hlavu ^^ Odpovedať Známka: -1.3 Hodnotiť:

Montano Od: Montano | Pridané: 23.11.2007 17:16 tak tento prispevok... respect ! :D Odpovedať Hodnotiť:

Marcel Od: Marcel | Pridané: 23.11.2007 18:55 Cool! Uz len smiat by sa mal zacat :-D Odpovedať Hodnotiť:

Mival Od: Mival | Pridané: 23.11.2007 19:37 Ale kde, to je Raiden z Moral Combat :D Odpovedať Známka: -8.9 Hodnotiť:

miso Od: miso | Pridané: 23.11.2007 20:05 Ten sa teda musi vazne nudit na stare kolena :D Odpovedať Hodnotiť:

Tomus Od: Tomus | Pridané: 23.11.2007 13:26 ... a prekvapilo vas to? Mna ne. Odpovedať Známka: -5.0 Hodnotiť:

jeeff Od: jeeff | Pridané: 23.11.2007 13:33 Vdaka bohu za ty chybu v TIFF obrazkoch, ved vdaka tomu sa telefon da aktivovat a odblokovat ;-) Aplikacia na odblokovanie sa totiz do telefonu dostane prave pomocou stiahnutia specialne upraveneho TIFF obrazku. Odpovedať Známka: -8.9 Hodnotiť:

pudleek Od: pudleek | Pridané: 23.11.2007 14:17 Uz aj MS sa naucil, ze webovy prehliadac nema bezat pod administratorskym uctom... Odpovedať Hodnotiť:

Giany Od: Giany | Pridané: 23.11.2007 15:00 tak na viste ti pod administratorskym uctom nepojde nic co nepovolis... Odpovedať Známka: -5.0 Hodnotiť:

Mums Od: Mums | Pridané: 23.11.2007 14:31 No tak asi niekto objavil Ameriku. Odpovedať Známka: 9.0 Hodnotiť:

red Od: red | Pridané: 23.11.2007 15:05 fake Odpovedať Známka: 8.9 Hodnotiť:

Cormick Od: Cormick | Pridané: 23.11.2007 15:28 uz je to, uz je to tu toto sme chceli uz hackuju aj telefony to je doba to sme to teda dosiahli to uz aby clovek ani nemal mladu nafotenu v telefone a ze iphone je super srot jeden drahy Odpovedať Známka: -5.0 Hodnotiť:

Odee Od: Odee | Pridané: 23.11.2007 16:04 ..sa mi lubi ako tento pan na konci rozhovoru povedal ze to neni chyba len iPhone-u ale aj PeCecok a kazdeho smartphonu s vyuzitim hore uvedeneho programu :D Sila :) Odpovedať Známka: 8.9 Hodnotiť:

xxx Od: xxx | Pridané: 23.11.2007 16:21 Áj Sračka.. Odpovedať Hodnotiť:

mark Od: mark | Pridané: 23.11.2007 18:42 sqely amici. no ukazem vam ako sa da toto urobit, som genius, ale v podstate sa to neda realne pouzit. Asi tak. Naco to je dobre, no na nic, len sa ukazat. Odpovedať Známka: 8.9 Hodnotiť:

Odee Od: Odee | Pridané: 26.11.2007 21:52 jasne, on sam si musel stiahnut ten backdoor a este ho aj upravit, takze je to kapanek bublina... Odpovedať Známka: -5.0 Hodnotiť:

thriler Od: thriler | Pridané: 23.11.2007 19:27 To znamena, ze keby som ten backdoor stiahol ja a predviedol na videu, teraz tu citate o mne? ubohe, to by mal byt clanok o tom cloveku co ten backdoor nasiel. Odpovedať Hodnotiť:

ZADARMO!!! Od: ZADARMO!!! | Pridané: 25.11.2007 14:00 AK MATE GRAFICKU KARTU ATI MOZETE MAT ZADARMO HRY DO VASHO STEAM ACCOUNTU!!!!!! http://www.atioffer.whdot.com/ Odpovedať Známka: -5.0 Hodnotiť:

Pridať komentár