Αμερικανοί αξιωματούχοι προειδοποιούν ότι τα iPhone είναι ευάλωτα σε κενό ασφαλείας

[Zombis]

Η Ομάδα Εκτάκτων Υπολογιστικών Αναγκών των ΗΠΑ (CERT) εξέδωσε προειδοποίηση για τους χρήστες iOS η οποία αναφέρει ότι είναι ευάλωτοι σε μια νέα μορφή επίθεσης. Την αποκαλούν “Επίθεση Προσωπίδα” και αφορά κακόβουλους χρήστες που σας εξαπατούν ώστε να εγκαταστήσετε επιβλαβείς εφαρμογές εκτός του App Store της Apple.

Οι συσκευές με την έκδοση 7 του iOS και πάνω, συμπεριλαμβανομένων των πιο πρόσφατων εκδόσεων, είναι ευάλωτες, σύμφωνα με τη CERT. Σύμφωνα με τα όσα ειπώθηκαν, αυτή η εκμετάλλευση λειτουργεί επειδή το iOS δε μπορεί να ξεχωρίσει τις αυθεντικές από τις πλαστές εφαρμογές αν χρησιμοποιούν το σωστό “αναγνωριστικό πακέτου” (bundle identifier).

Μία απλή λύση

Η Apple όμως εξέδωσε μία ανακοίνωση που προτείνει μία απλή λύση: Να κατεβάζετε εφαρμογές και τις ενημερώσεις τους μόνο από “έμπιστες πηγές”.

“Ενθαρρύνουμε τους πελάτες μας να κατεβάζουν μόνο από έμπιστες πηγές, όπως το App Store, και να δίνουν σημασία στις όποιες προειδοποιήσεις ενώ κατεβάζουν εφαρμογές”, δήλωσε ένας εκπρόσωπος της Apple.

“Οι εταιρικοί χρήστες που εγκαθιστούν προσαρμοσμένες εφαρμογές θα πρέπει να τις εγκαθιστούν από τους ασφαλείς ιστοτόπους των εταιρειών τους”, πρόσθεσε ο εκπρόσωπος.

Αυτή είναι μία πηγή πιθανών μπελάδων, αν οι επιτιθέμενοι παριστάνουν το τεχνολογικό προσωπικό ενός εταιρικού χρήστη. Αλλά η Apple και η FireEye, η εταιρεία ασφαλείας που ανακάλυψε την αδυναμία, δήλωσε ότι δεν υπάρχουν καταγεγραμμένες περιπτώσεις στις οποίες να έχει γίνει εκμετάλλευση του κενού.

Πηγή: TechRadar.com

[jimger]

Δεν ήξερα καν ότι υπάρχει επίσημος (non jailbroken) τρόπος εγκατάστασης εφαρμογών εκτός του appstore

[DVader]

¨Ελα δεν το πιστεύω !

[tsigarid]

Σιγά την είδηση. Σε όλα τα λειτουργικά κινητών, αν εγκαθιστάς εκτός του επίσημου store κινδυνεύεις. Παρόλα αυτά, κρατάω το ποπκόρν ζεστό για γραφικά σχόλια.

[euri]

Δεν ήξερα καν ότι υπάρχει επίσημος (non jailbroken) τρόπος εγκατάστασης εφαρμογών εκτός του appstore

Σε εταιρικά περιβάλλοντα γίνεται μέσω "ιδιωτικού" app portal και υποδομής Mobile Device Management (MDM). Το app portal μπορεί να περιέχει εφαρμογές οι οποίες προέρχονται από το επίσημο app store της Apple, αλλά μπορεί να έχει και custom εφαρμογές. Το πρόβλημα προκύπτει αν κάποιος καταφέρει να κάνει τα τηλέφωνα ή τους χρήστες να πιστεύουν ότι συνδέονται στο εταιρικό app portal, ενώ στην πραγματικότητα συνδέονται σε μη εξουσιοδοτημένο portal με κακόβουλες εφαρμογές.

[aiolos.01]

Αν εγκαθιστάς κάτι τοπικά απο μόνος σου σιγά το κενό...

Σιγά την είδηση. Σε όλα τα λειτουργικά κινητών, αν εγκαθιστάς εκτός του επίσημου store κινδυνεύεις. Παρόλα αυτά, κρατάω το ποπκόρν ζεστό για γραφικά σχόλια.

Άστο, κρύωσε.

[Gordito]

Σιγά την είδηση. Σε όλα τα λειτουργικά κινητών, αν εγκαθιστάς εκτός του επίσημου store κινδυνεύεις. Παρόλα αυτά, κρατάω το ποπκόρν ζεστό για γραφικά σχόλια.

Το πρώτο το έγραψες εσύ πάντως.....

[jimger]

Σε εταιρικά περιβάλλοντα γίνεται μέσω "ιδιωτικού" app portal και υποδομής Mobile Device Management (MDM). Το app portal μπορεί να περιέχει εφαρμογές οι οποίες προέρχονται από το επίσημο app store της Apple, αλλά μπορεί να έχει και custom εφαρμογές. Το πρόβλημα προκύπτει αν κάποιος καταφέρει να κάνει τα τηλέφωνα ή τους χρήστες να πιστεύουν ότι συνδέονται στο εταιρικό app portal, ενώ στην πραγματικότητα συνδέονται σε μη εξουσιοδοτημένο portal με κακόβουλες εφαρμογές.

Thanks για την ενημέρωση

Πάντως υποθέτω δεν θα είναι και εύκολο να την πατήσει κάποιος με αυτόν τον τρόπο.... Ειδικά αν βάζεις τις εφααρμογές μόνο μέσω του εταιρικού δικτύου και όχι μέσω internet κλπ (ή πχ μέσω vpn)

[A_gamer]

Κι εμένα μου φαίνεται πολύς ντόρος για το τίποτα αυτή η είδηση.

[iml]

Οσοι έχουν iOS πριν το 7 απλά δεν βρίσκουν πια να βάλουν συμβατές εφαρμογές οπότε δεν κινδυνεύουν?

CERT Tip: Μην αλλάζετε κάθε ένα-δύο χρόνια συσκευές για να είστε ασφαλείς..

[Helene]

Καλά κάνουν και προειδοποιούν γιατί υπάρχουν χρήστες που δεν πολυσκαμπάζουν από τεχνολογία και ενδεχομένως να την πατήσουν αν δεν είναι υποψιασμένοι.

[lewton]

Δεν ήξερα καν ότι υπάρχει επίσημος (non jailbroken) τρόπος εγκατάστασης εφαρμογών εκτός του appstore

Παρομοίως.

[nnn]

Δεν ήξερα καν ότι υπάρχει επίσημος (non jailbroken) τρόπος εγκατάστασης εφαρμογών εκτός του appstore

Παρομοίως.

https://www.google.gr/url?sa=t&rct=j...79142246,d.bGQ

emu4ios, το εγκαθιστάς και μπορείς να κατεβάσεις εφαρμογές εκτός App store που παίζουν σε μη Jailbroken συσκευές, απλά σε ρωτάει 2-3 φορές αν θέλεις να κάνεις trust την εφαρμογή.

[lewton]

https://www.google.gr/url?sa=t&rct=j...79142246,d.bGQ

emu4ios, το εγκαθιστάς και μπορείς να κατεβάσεις εφαρμογές εκτός App store που παίζουν σε μη Jailbroken συσκευές, απλά σε ρωτάει 2-3 φορές αν θέλεις να κάνεις trust την εφαρμογή.

ΟΚ, κατάλαβα.
Πάντως αυτό δεν είναι λόγος για να κράξουμε την Apple, ίσα-ίσα χαίρομαι να υπάρχει δυνατότητα παράκαμψης του Store.
Αλλά αν το κάνεις αυτό και εγκαταστήσεις ο,τι να'ναι δε σου φταίει η Apple (όπως δε σου φταίει η Google αν ενεργοποιήσεις το "unknown sources" στο Android).

[emeliss]

Δεν σε ρωτάει μόνο 2-3 φορές. Για να τρέξει εφαρμογή που μπήκε από το παράθυρο πρέπει να κατέβει certificate από την Apple. Εκεί χρησιμοποιούν διάφορες άδειες enterprise. Το certificate λήγει μετά από μερικές μέρες και πρέπει να ξανακατέβει. Αν υπάρχει παρασπονδία δεν θα κατέβει και η εφαρμογή δεν θα τρέξει.