iPhone: Διορθώθηκε το επείγον κενό ασφάλειας με την έκδοση του OS 3.0.1

[nm96027]

Η Αpple εξέδωσε μέσω του iTunes νέα έκδοση λειτουργικού συστήματος για το iPhone (OS 3.0.1) προκειμένου να διορθώσει το πρόβλημα ασφάλειας που αποκαλύφθηκε. Tην περασμένη Πέμπτη ειδικοί αποκάλυψαν για πρώτη φορά πως ένα τροποποιημενο SMS θα μπορούσε να προκαλέσει ζημιά στο iPhone όπως να το αποσυνδέσει από το δίκτυο ή ακόμα και να πάρει τον έλεγχο του τηλεφώνου καλώντας αριθμούς. Τo μεγέθους 230ΜΒ αρχείο του λειτουργικού δεν περιέχει καμία άλλη ανανέωση πλην εκείνης της διόρθωσης (patch) του προβλήματος με τα SMS.

Η Apple ισχυρίστηκε πως παρόμοιο πρόβλημα πιθανόν να έχουν και κινητά με άλλα λειτουργικά συστήματα όπως Windows Mobile ή Αndroid ενώ επίσης δήλωσε πως δεν υπάρχει ούτε ένα περιστατικό χρήσης αυτού του κενού ασφαλείας σε iPhone.

Eκπρόσωπος της O2 στην Βρετανία δήλωσε:

"Θα επικοινωνούμε με τους πελάτες μας μέσω της ιστοσελίδας μας αλλά και προληπτικά. Πάντα συστήνουμε στους πελάτες μας να χρησιμοποιούν την τελευταία έκδοση λογισμικού του iPhone και αυτό δεν έχει αλλάξει"

Την αποκάλυψη έκαναν στο συνέδριο Black Hat οι Charlie Miller και Collin Mulliner. Διαπίστωσαν πως είναι δυνατή η από απόσταση παραβίαση του iPhone με την αποστολή δεδομένων με την μορφή SMS. To σύστημα που ανέπτυξαν για την παραβίαση δουλεύει και σε άλλα λειτουργικά συστήματα και αν εγκατασταθεί μπορεί να πάρει τον έλεγχο πληθώρας λειτουργιών του τηλεφώνου όπως η λίστα επαφών ή η κάμερα.

Οι δύο ειδικοί δήλωσαν πως hackers θα μπορούσαν να αναπτύξουν λογισμικό προκειμένου να εκμεταλλευθούν το κενό ασφάλειας αυτό σε λιγότερο από δυο εβδομάδες. Δήλωσαν όμως επίσης πως η δημοσιοποίηση του τρόπου επίθεσης ήταν αναγκαία προκειμένου να εντοπισθεί και να αντιμετωπισθεί το πρόβλημα.

"Αν δεν ανακοινώνοντας δημοσίως κάποιοι θα το εκμεταλλεύονταν σιωπηρά. Οι λεγόμενοι "κακοί" θα το έκαναν ούτως ή άλλως", δήλωσε ο κ. Mulliner ανεξάρτητος ειδικός σε θέματα ασφάλειας.

Η ομάδα που έγραψε το λογισμικό για το κενό ασφάλειας επικέντρωσε την προσοχή της σε 4 δίκτυα κινητής τηλεφωνίας στην Γερμανία και τις Η.Π.Α., όμως πιστεύουν πως η παραβίαση είναι δυνατή και σε άλλες χώρες φυσικά.

Η επικινδυνότητα της μεθόδου βασίζεται στην αυτόματη λήψη των SMS, δηλαδή στο ότι οι χρήστες δεν μπορούν να γνωρίζουν αν λαμβάνουν κάποια επιβλαβή εφαρμογή. Η αντιμετώπιση της έχει δύο δρόμους: είτε μέσω της διόρθωσης του λειτουργικού συστήματος είτε μέσω του φιλτραρίσματος από τον πάροχο των επιβλαβών μηνυμάτων.

Οι ειδικοί επίσης ανάφεραν πως ενημέρωσαν και την Google για το κενό ασφάλειας και πως η εταιρεία τους απάντησε πως ήδη εργάζεται για την αντιμετώπιση του.

Η Apple δεν θέλησε να κάνει κάποιο σχόλιο.

Πηγή: BBC

[Frontier]

"Η Apple ισχυρίστηκε πως παρόμοιο πρόβλημα πιθανόν να έχουν και κινητά με άλλα λειτουργικά συστήματα όπως Windows Mobile ή Αndroid ενώ επίσης δήλωσε πως δεν υπάρχει ούτε ένα περιστατικό χρήσης αυτού του κενού ασφαλείας σε iPhone."

Κλασσική Apple: όταν μας αποκαλύψουν, προσπαθούμε να ρίξουμε λάσπη στους ανταγωνιστές μας.
Αυτό, κάνει το δικό μας προϊόν να δείχνει λιγότερο κακό

Ρε παιδί μου, να μην την πηγαίνω αυτή την εταιρία... Όχι τώρα, απ'τον καιρό που έλεγε τα ίδια για την Amiga και προσπαθούσε να πείσει τον κόσμο ότι δεν χρειάζεται χρώμα για να κάνεις DTP...

Θα μπορούσαν πάντως να βγάλουν ένα μικρότερο patch - αν το λειτουργικό είχε τη δυνατότητα - και όχι να αναγκάσει τους χρήστες να ξανακατεβάσουν 230ΜΒ (με τα γνωστά προβλήματα overloading των servers).

[Μεσσήνιος]

Τελικά πουθενα δεν υπάρχει κατι τελείως ασφαλές.

ΧΕΧΕ πάμε για το επόμενο κενό ασφαλειας....

[Khaos Sektor]

Η συγκεκριμενη αναβαθμιση θα ισχυει και για το ipod touch η οχι;

[gtl]

Η συγκεκριμενη αναβαθμιση θα ισχυει και για το ipod touch η οχι;

Το ipod touch δεν δέχεται sms μηνύματα για να κινδυνεύει από το κενό ασφαλείας, γιατί να αναβαθμιστεί?

[Tigran]

"Αν δεν ανακοινώνοντας δημοσίως κάποιοι θα το εκμεταλλεύονταν σιωπηρά. Οι λεγόμενοι "κακοί" θα το έκαναν ούτως ή άλλως", δήλωσε ο κ. Mulliner ανεξάρτητος ειδικός σε θέματα ασφάλειας.

Τι λέει ρε ο τρόμπας; Δηλαδή δεν μπορούσαν να το πουν μόνο στην Apple(όπως και τις υπόλοιπες εταιρείες) και απλά εκείνη να διαθέσει την νέα αναβάθμιση χωρίς περαιτέρω λεπτομέρειες; Ή τουλάχιστον να λέγανε ότι υπάρχει κενό ασφαλείας και είναι καλό να αναβαθμίσουν όλοι τις συσκευές τους, χωρίς να δώσουν λεπτομέρειες σχετικά με το πως μπορεί κάποιος να έχει πρόσβαση στο κενό ασφαλείας(βλ. αποστολή SMS).

Καλά η απάντηση της Apple από την άλλη, είναι τραγική. Σαν τα παιδάκια του δημοτικού "Κυρία δεν μιλούσα μόνο εγώ...!".

Και εν τέλει, γιατί το άρθρο μιλάει κυρίως για το iPhone, όταν το πρόβλημα εντοπίζεται σε πολλές ακόμη άλλες συσκευές;

[rodin002]

Η Apple ισχυρίστηκε πως παρόμοιο πρόβλημα πιθανόν να έχουν και κινητά με άλλα λειτουργικά συστήματα όπως Windows Mobile ή Αndroid ενώ επίσης δήλωσε πως δεν υπάρχει ούτε ένα περιστατικό χρήσης αυτού του κενού ασφαλείας σε iPhone.

Η Apple δεν θέλησε να κάνει κάποιο σχόλιο.

Τελικά το σχολίασε ή οχι;

[Brainakos]

Το κενο ασφαλειας υπαρχει ακομα οπως αποδειχτηκε απλα διαφοροποιηθηκε και ειναι carrier based.

"Οι Luis Miras και Zane Lackey ανακάλυψαν ένα νέο SMS-hack το οποίο δεν λύνεται με το update του iPhone OS 3.0.1!"

[gtl]

Το κενο ασφαλειας υπαρχει ακομα οπως αποδειχτηκε απλα διαφοροποιηθηκε και ειναι carrier based.

"Οι Luis Miras και Zane Lackey ανακάλυψαν ένα νέο SMS-hack το οποίο δεν λύνεται με το update του iPhone OS 3.0.1!"

Πηγή? Όπως και να'χει, ας βάλουν κανένα patch και από την πλευρά των τηλεπικοινωνιακών παρόχων - μην τα ρίχνουν όλα πια στον τελικό χρήστη! Ήδη το πρώτο exploit μπορούσε να μπλοκάρεται από πλευράς carrier χωρίς όλη την αναμπουμπούλα με τα firmware updates των 300MBs..

Μέσω των παρόχων αγόρασαν τις συσκευές οι καταναλωτές, ας αναλάβουν κι εκείνοι επιτέλους τις ευθύνες τους. Νισάφι.

[Bayern7]

Το sms hack που λύθηκε με το 3.0.1 απαιτούσε την αποστολή 519 μηνυμάτων sms για να πάρει μπρος το exploit! xaxaxa
ουσιαστικά δεν υπήρχε πρόβλημα.

[zeppelindsl]

Τι λέει ρε ο τρόμπας; Δηλαδή δεν μπορούσαν να το πουν μόνο στην Apple(όπως και τις υπόλοιπες εταιρείες) και απλά εκείνη να διαθέσει την νέα αναβάθμιση χωρίς περαιτέρω λεπτομέρειες; Ή τουλάχιστον να λέγανε ότι υπάρχει κενό ασφαλείας και είναι καλό να αναβαθμίσουν όλοι τις συσκευές τους, χωρίς να δώσουν λεπτομέρειες σχετικά με το πως μπορεί κάποιος να έχει πρόσβαση στο κενό ασφαλείας(βλ. αποστολή SMS).

Καλά μην τα ισοπεδώνεις όλα, οι άνθρωποι που ασχολούνται με το security (και μάλιστα σε τέτοιο επίπεδο) είναι σε θέση να γνωρίζουν πολύ καλά τι πρέπει να γίνει και τι όχι... και βασικά μόνο τρόμπες δεν είναι

[aiolos.01]

Ναι, και αν υπηρχε περιστατικό χρήσης του exploit η apple θα μας το έλεγε. Γιατί είναι τόοοοοσο ανοιχτή εταιρία. Δεν έχει κάνει ποτέ μηνύσεις σε site που παρουσιάζουν φήμες σχετικα με τα προιόντα της, και δεν έχει προσπαθήσει ποτε να φιμώσει τους δυσαρεστημένους πελάτες της....

http://www.osnews.com/story/21937/Ap..._Gagging_Order

[ST2008]

Οπότε τώρα θα βρούμε και το νέο iPhone στην ελληνική αγορά (περίμεναν να διορθωθούν τα κενά ασφαλείας ).