Security researchers Charlie Miller, Jake Honoroff & Joshua Mason claimed and then demonstrated a prrof-of-concept vulnerability in iPhone which can be used by any website to inject codes in iPhone which will allow full remote control of your iPhone over the internet. Segurança investigadores Charlie Miller, Jake Honoroff Joshua & Mason e, em seguida, alegou demonstrado uma prrof-de-conceito de vulnerabilidade iPhone, que pode ser usado por qualquer site para injetar códigos em iPhone que irá permitir o controlo remoto completo de seu iPhone através da Internet. The hackers can do everything you can do with your iPhone remotely. Os hackers podem fazer tudo o que você pode fazer com o seu iPhone remotamente. They can take pictures and send them, make phone calls, more importantly send all your personal data including SMS text messages, contact information, call history, voice mail information to any remote server. Eles podem tirar fotografias e enviá-los, fazer telefonemas, e mais importante enviar todos os seus dados pessoais, incluindo SMS mensagens de texto, informações de contato, chamada história, voice mail informações a qualquer servidor remoto. Read on to find more on iPhone’s architectural issues and on this vulnerability and how it can affect you as an iPhone user. Leia mais para descobrir mais sobre o iPhone arquitectónico e questões sobre esta vulnerabilidade e como isso pode afetar você como um usuário iPhone.

iPhone runs stripped down and customized version of Mac OS X on an ARM processor. iPhone corre despojado para baixo e personalizada versão do Mac OS X com um processador ARM. Much of the device’s claimed security is reliant on its restrictions against running third party applications. Grande parte do dispositivo de segurança é reivindicada, dependentes de suas restrições contra terceiros, executando aplicações. The inbuilt Safari browser executes only Javascript code ensuring that all third party applications executes in a sanboxed environment; even Flash support has been removed from the customized version of Safari. O navegador Safari inerente apenas executa código Javascript, garantindo que todas as aplicações terceiro executa em um ambiente sanboxed; Flash mesmo apoio foi removido da versão personalizada do Safari. Many filetypes cannot be downloaded. Muitos filetypes não podem ser baixados. These steps reduces the attack vectors of the device. Essas medidas reduzem o ataque vetores do dispositivo.

However these researchers found out there are serious problems with the design and implementation of security on the iPhone, most glaring of which is that all interesting processes runs with administrative (root) privileges. No entanto, estes investigadores descobriu existem graves problemas com a concepção e implementação de segurança sobre o iPhone, mais gritante de que é interessante que todos os processos administrativos com roda (raiz) privilégios. This implies that a compromise of any application gives an attacker full access to the device. Isto implica que um compromisso de toda a aplicação dá um atacante total acesso ao dispositivo. iPhone doesn’t utilize widely accepted practices like address randomization or non-executable heaps, which makes it easier to develop stable exploit code once a vulnerability is discovered. iPhone não utilizam práticas amplamente aceitas como endereço aleatorização ou não-executável escombreiras, o que torna mais fácil desenvolver uma vez um código estável explorar a vulnerabilidade é descoberta. So in summary not only a vulnerability has been discovered and an exploit demonstrated, iPhone’s weak architectural decisions wrt. Portanto, em síntese, não só uma vulnerabilidade foi descoberto e um aproveitamento demonstrado, iPhone da fraca arquitectónico decisões wrt. security makes it easy to create stable exploits for future vulnerabilities too. de segurança que torna fácil criar exploits estável para futuras vulnerabilidades também.

Researchers created an exploit for the Safari browser on iPhone. Os investigadores criaram um exploit para o navegador Safari em iPhone. They used an unmodified iPhone to surf to a malicious HTML document (web page) they created. Eles utilizaram uma inalterado iPhone para navegar para um malicioso documento HTML (página da web) eles criados. When the page was viewed, the exploit code forced the iPhone to make an outbound call to the server they controlled. Quando a página foi visualizada, explorar o código do iPhone forçado a fazer uma chamada de saída para o servidor eles controladas. The compromised iPhone then send personal data including SMS text messages, contact information, call history and voice mail information over this connection. O iPhone comprometida em seguida, enviar os dados pessoais, incluindo SMS mensagens de texto, informações de contato, chamada história e voice mail informações sobre esta conexão. All the data was collected automatically and surreptiously. Todos os dados foram recolhidos automaticamente e surreptitiously. Examination of the file system revealed that other personal data such as passwords, emails and browsing history could also be obtained remotely from compromised iPhone. Exame do sistema de arquivos revelou que outros dados pessoais, como senhas, e-mails e navegar história também poderia ser obtido remotamente a partir de iPhone comprometida.

They also made a second exploit which performs physical action on the iPhone. Eles também feita uma segunda exploração que realiza acção física sobre o iPhone. The payload from that exploit forced the iPhone to make sounds and vibrate. A carga útil do que explorar o iPhone forçado a fazer sons e vibrar. Using API functions they discovered they could also have recorded audio (remote snooping device) and later transmitted it over the network. Usando funções API eles descobriram que também poderia ter gravado áudio (snooping dispositivo remoto) e, mais tarde ela transmitidos através da rede.

The two ways iPhone can be easily compromised are through email and HTML. As duas formas iPhone pode ser facilmente comprometida se através de e-mail e HTML. Their Seu paper papel also talked about a man-in-the-middle attack where a advertised free WiFi hotspot can be used to invisibly inject iPhone exploit code to obtain complete control over your iPhone. Também falou sobre um man-in-a-meio onde um ataque anunciados free WiFi hotspot pode ser usado para explorar iPhone invisìvel injetar código para obter controle total sobre o iPhone. This is more insidious in some ways and can also allow for automatic exploitation of iPhones within a target area. Trata-se de certa forma mais insidiosa e pode igualmente permitir a exploração automática de iPhones dentro de uma área de destino. For an enterprising hackers all iPhones in the vicinity can be used for remote surveillance and more, much more. Para um empreendedor todos os hackers iPhones na vizinhança pode ser usado para vigilância remota e mais, muito mais.

Filed under Arquivado em Apple Maçã , De Browser Navegador , De Computer Security Segurança de computadores , De Headline News Headline News , De How To How To , De Javascript , De Programming Programação , De Technology Tecnologia , De USA E.U.A. , De Web , De Web 2.0 Web 2,0 , De Web Services Web Services | | Comment on this Article | | RSS Feed RSS 2.0 RSS 2,0 | | Trackback this Article Trackback this Article | este artigo | Email this Article Email this Article E-mail este artigo

You may also like to read Você pode também gosta de ler

Looking forward to hear your thoughts. Olhando para a frente para ouvir seus pensamentos.



Please enter the code shown below ( to verify that you are human ) before you click Submit Comment . Digite o código abaixo (para verificar se você é humano), antes de clicar em Enviar comentário.