Slavné mobilní telefony značky Apple obsahují bezpečnostní chybu. Útočníci se mohou telefonu na dálku zmocnit, záskat citlivá data a šířit skázu dál. Stačí k tomu SMS zprávy. Aktualizováno!
Útočníci slídící po nějakých těch heslech, číslech kreditek, či alespoň platných kontaktech, se pochopitelně zaměřují především na nejrozšířenější platformy. Také proto je nejvíce odhalených chyb ve Windows, které jsou nejrozšířenějším operačním systémem na světě. Vyloženě škodit už není cílem dnešních hackerů (tím mám namysli ty „zlé“, nikoli ty původní, o kterých si píšeme zde), dnes jsou v kurzu citlivé údaje a tvorba botnetů.
Všechny iPhony v ohrožení
Silně rozšířenou platformou se díky svému úspěchu stal také systém Mac OS X používaný v mobilním telefonu iPhone od Applu. Miliony telefonů využívají identický systém, navíc jsou plné kontaktů a nezřídka lze v poznámkách nalézt i mnohem vzácnější údaje. Také proto se na tuto platformu zaměřili bezpečnostní odborníci. A odhalili vážnou bezpečnostní chybu.
Bezpečnostní specialisté Charlie Miller a Collin Mulliner objevili způsob vniknutí do iPhonu už v půli července. O svém zjištění okamžitě informovali společnost Apple, ta se však neměla k nápravě a oprava formou aktualizace systému či jiným způsobem doposud nebyla vydána. Své výsledky proto dvojice zveřejnila a odprezentovala na konferenci Black Hat v Las Vegas, která je věnována bezpečnostním hrozbám.
Se způsobem vniknutí do iPhonu se tak seznámili ostatní experti na bezpečnost, ale také hackeři, kteří se okamžitě jali popsaný způsob vyzkoušet. Uživatelé iPhonů jsou tak v ohrožení.
Útočníci se do telefonu dostanou prostřednictvím speciálního kódu zaslaného prostřednictvím SMS zpráv. Napadený uživatel iPhonu tak prakticky nepozná, že je cílem útoku. Hack byl testován sítích čtyřech německých operátorů a také v amerického AT&T. Bez problémů by však měl fungovat v jakékoli jiné mobilní síti.
Chyba umožní útočníkovi převzít kontrolu nad telefonem a snadno lze například zabránit volání, přístupu na internet, nebo posílání textových zpráv. V ohrožení jsou samozřejmě i informace uložené v telefonu a co je vůbec nejnebezpečnější – útočník může pomocí napadeného telefonu rozesílat SMS zprávy se zákeřným kódem dál.
„Je to vážné. Jediné, co proti tomu můžete udělat, je vypnout svůj telefon,“ řekl Miller pro magazín Forbes a varovně dodal: „Někdo by mohl tímto způsobem snadno převzít vládu nad každým iPhonem na světě“.
Nositelem nákazy jsou SMS zprávy
Je to jen pobuřující planá zpráva, nebo skutečnost? Obávám se, že nepůjde jen o obyčejný hoax. Na konferenci Black Hat byla chyba skutečně demonstrována a zprávou se nyní zabývají prestižní média včetně agentury Reuters. Dalším usvědčením může být fakt, že Charlie Miller odhalil jinou bezpečnostní díru v iPhonu již v roce 2007. Ta spočívala v chybě v prohlížeči, která umožnila po návštěvě stránky se škodlivým kódem útočníkovi převzít moc nad přístrojem. Tato chyba byla následně záplatována aktualizací firmwaru.
Jenomže nyní Apple nereaguje. „Dal jsem jim více času na opravu chyby, než kdy jindy,“ uvedl Miller. Proto se také rozhodl chybu zveřejnit a doufá, že to Apple přiměje k rychlejšímu řešení nápravy.
Způsob útoku objevený Millerem a Mullinerem zneužívá chybějící ochrany proti kódovanému obsahu SMS zpráv. Text v nich obsažený lze snadno dostat do jiných částí zařízení a zde z nich následně vytvořit spustitelný program. Je pochopitelné, že do jedné SMS zprávy se celý kód nevejde, jsou k tomu využívány velké série. Miller a Mulliner prezentovali příklad se sérií 512 SMS zpráv, která dokáže nabourat telefon a rozesílat kód stejným způsobem na kontakty uvedené v telefonním seznamu iPhonu. Přitom se jen jediná SMS zpráva z celé série uživateli zobrazí, zbytek přichází v tichosti a nepozorovaně. Co by to udělalo s telefonním účtem napadeného telefonu raději ani nepomýšlet…
Viditelná zpráva nebezpečného kódu se projeví zobrazením malého čtverečku na displeji. Miller ovšem upozorňuje, že by neměl být problém vytvořit zcela skrytý hack, který se neprojeví žádnou veřejnou SMS zprávou.
Chytré telefony cílem hacků
Mobilní telefony se stávají novým polem působnosti pro hackery. Otevřené operační systému tomu nahrávají a jak vidno, nejen stolní okna jsou děravá. Miller upozornil, že podobné SMS útoky lze provádět i na mobilní telefony se systémem Windows Mobile a vážná bezpečnostní chyba je také v novém systému Google Android. V budoucnu lze bohužel očekávat rozšíření útoků na mobilní telefony. Právě v nich často ukládáme citlivá data a ta jsou pro hackery obživou. Miller však nakonec trochu uklidňuje: „Špatnou zprávou je, že se SMS zprávy ukázaly jako perfektní nástroj k útoku, ale dobrou zprávou je, že by neměl být problém je zabezpečit.“
Tip: přečtěte si recenzi nového iPhonu 3GS
Aktualizováno:
Apple záhy po mediání masáži zareagoval a připravil softwarovou opravu. Podrobnosti v samostatné bleskovce.