Чарли Миллер покажет взлом iPhone по SMS
Двое экспертов в области информационной безопасности обнаружили уязвимость в системе защиты Apple iPhone, которая позволяет перехватить контроль над устройством путем отправки серии СМС-сообщений.
Уязвимость была обнаружена известным хакером по имени Чарли Миллер, который уже не в первый раз подвергает продукты Apple проверке на прочность. На состязании Pwn2Own 2009, прошедшем ранее в этом году, мужчина продемонстрировал виртуозный взлом компьютера Macbook, потратив на операцию всего несколько секунд. Сегодня вечером по московскому времени в Лас-Вегасе на конференции Blackhat Миллер должен обнародовать универсальный SMS-эксплойт, с помощью которого можно удалённо взломать любой iPhone.
Разработанная хакерская методика предполагает эксплуатацию уязвимости в механизме обработки текстовых сообщений. Встроенный СМС-клиент не оборудован средствами защиты, которые предотвращали бы проникновение исполняемого кода, передаваемого в виде текста, в другие области памяти устройства. Эта уязвимость позволяет хакеру получить доступ к любым функциям смартфона, включая набор телефонных номеров, посещение веб-страниц и отправку сообщений.
Миллер и его коллега Колин Маллинер собираются осуществить захват смартфона на глазах у сотен зрителей путем отправки набора из 512 СМС-сообщений. При этом на дисплей будет выведено лишь одно послание, демонстрирующее небольшой прямоугольник. Миллер рекомендует всем владельцам iPhone, которые в последующие дни получат «прямоугольную» СМС’ку немедленно отключить питание устройства.
По словам Миллера, представители корпорации Apple были поставлены в известность об обнаруженной уязвимости, однако до сегодняшнего дня не предприняли никаких видимых мер для решения проблемы. Однако, как утверждает эксперт, владельцы смартфонов на базе Windows Mobile тоже не должны чувствовать себя в безопасности. На прошлой неделе в мобильной ОС от Microsoft также была обнаружена критическая уязвимость (не ликвидированная и по сей день), позволяющая установить удаленный контроль над устройством.
www.securitylab.ru