iPhone : basta un SMS Per prendere il controllo
Interessante e “pericolosa” dimostrazione quella fatta alla Black Hat Conference da alcuni esperti di sicurezza che sono riusciti a prendere il controllo completo di un iPhone con un “semplice” SMS.
La notizia metterà probabilmente in allarme i milioni di possessori del melafonino, anche se per adesso possono star tranquilli in quanto l’exploit rimane limitato ad ambienti di ricerca sulla sicurezza, senza che i passaggi da fare siano diffusi al pubblico.
Tornando alla dimostrazione di Colin Mulliner e Charlie Miller (ormai uno specialista nel bug hunting su Mac) sembra che sia sufficiente un solo SMS iniziale per “preparare” l’esecuzione dei comandi atti a prendere pieno controllo del device, che poi verrebbe controllato tramite successivi SMS “concatenati” ognuno recante le istruzioni su cosa attivare e cosa far eseguire all’iPhone.
L’utente vedrà solo il primo SMS senza poter più avere cognizione di cosa verrà fatto al suo iPhone successivamente. Il pericolo più elevato in questi casi è quello per cui un eventuale hacker possa accedere alla rubrica, inviando in tal modo SMS pericolosi a tutti i contatti presenti e infettando così un numero veramente consistente di apparecchi
Allarme alto anche perché la vulnerabilità colpisce tutti gli iPhone, anche quelli aggiornati con il firmware 3.0 e per adesso nessuna notizia su un eventuale patch è giunta da Apple.
Va infine ricordato che, sempre alla stessa conferenza, sono state scoperte altre vulnerabilità relative agli altri principali sistemi operativi mobili, ovvero Android e Windows Mobile, chiara dimostrazione di quanto questi apparecchi siano diventati completi e complessi ma contemporaneamente vulnerabili ad attacchi di questo genere.
oneapple
iPhone 3.0.1, gli SMS non sono più un problema
"Risolta una pericolosa falla di sicurezza nella gestione degli SMS sull'iPhone."
Apple ha reso disponibile la versione 3.0.1 del firmware dell'iPhone, sviluppato per risolvere una falla di sicurezza nella gestione degli SMS, in grado di permettere a malintenzionati di prendere il controllo del telefonino e delle informazioni su di esso custodite.
Ne abbiamo parlato due volte, puntando il dito anche con il "ritardo" dell'azienda nella risoluzione del problema, peraltro riscontrato anche su Windows Mobile e Android, ma corretto celermente. Ad accelerare le operazioni di patch di Apple c'è stato sicuramente l'intervento dell'esperto di sicurezza Charlie Miller che, visto il mancato intervento della casa di Cupertino, ha svelato pubblicamente l'exploit del problema alla Black Hat Conference.
http://www.tomshw.it/articles/20090731/iphonenero_c.jpg
La pubblicazione del nuovo firmware segue, di poche ore, quella dell'exploit, il che significa che in casa Apple aspettavano solamente che qualcuno si lamentasse. Speriamo che la prossima volta non si debba più fare pressioni del genere per assicurare la sicurezza di un prodotto tanto valido quanto pagato a caro prezzo.
tom's