Sfrustrowany ekspert ds. zabezpieczeń ujawnia luki w iPhone'ie

Aviv Raff, znany niezależny ekspert w dziedzinie bezpieczeństwa informatycznego, ujawnił szczegóły techniczne dotyczące luk w zabezpieczeniach telefonu Apple. Izraelski specjalista najwyraźniej zdecydował się na ten krok w przypływie frustracji - o znalezionych lukach alarmował już w lipcu, jednak firma z Cupertino nie tylko dotychczas ich nie załatała, ale nie wyznaczyła nawet terminu, w którym stosowne uaktualnienia mogłyby zostać przygotowane.

Przypomnijmy, że luki, których szczegóły ujawnił Raff, dotyczą programu iPhone Mail, służącego do obsługi konta poczty elektronicznej (dwa osobne problemy) oraz przeglądarki Safari. O tym, że iPhone'a trzeba załatać, Izraelczyk powiadomił producenta pod koniec lipca br., ostrzegając, że luki są na tyle poważne, że mogą posłużyć m.in. do oszukiwania użytkowników i wykradania danych. Raff dał wyraz niezadowoleniu w swoim blogu: "Minęło dwa i pół miesiąca, a wciąż nie ma łatek dla tych luk. Kilka razy prosiłem Apple o wyznaczenie daty ich udostępnienia, ale odmówili. Trzy wersje [oprogramowania dla iPhone'a - redakcja] zostały wydane od czasu, gdy dostarczyłem im szczegóły, a oni wciąż nad tym pracują".

Z uwagi na konieczność wyświetlania stron WWW na małym wyświetlaczu urządzenia, przeglądarka i program pocztowy skracają długie adresy URL (Mail "wycina" środkową część adresu, a Safari automatycznie wyświetla jego koniec) co może być łatwo wykorzystane przez cyberprzestępców. Napastnik może naśladować zaufaną witrynę, wykorzystując pierwszych kilka znaków ciągu URL - użytkownik ma przeświadczenie, że trafi na właściwą stronę, ale ponieważ nie widzi dalszej części adresu klikając weń, nieświadomie wchodzi na stronę spreparowaną.

Trzeci błąd zabezpieczeń iPhone'a Raff określił mianem "głupiej dziury w projekcie" urządzenia, która może ułatwić spamerom identyfikację aktywnych adresów e-mail. iPhone automatycznie pobiera pliki graficzne znajdujące się w załącznikach wiadomości pocztowych, zatem spamer kontrolujący zdalny serwer może na tej podstawie gromadzić wiedzę dotyczącą czynnych kont. Pobranie załącznika może sugerować, że użytkownik przeczytał wiadomość, więc spamer może na jego adres wysyłać więcej niechcianych wiadomości. Co ciekawe, ekspert zwracał uwagę na obecność tego błędu w innych wydaniach programu Mail np. w dołączonym do systemu Mac OS X (to jednak zostało już załatane). Zdaniem Raffa jedynym na chwilę obecną remedium na ten problem jest nieużywanie aplikacji Mail (funkcji autopobierania obrazów w załącznikach nie można w telefonie Apple wyłączyć).

Ekspert przyznaje, że podobną taktykę nacisku stosował już wcześniej, w przypadku innych producentów, ale zaznacza, że zachowywał się tak wyłącznie w stosunku do firm "działających nieodpowiedzialnie - tak jak Apple postąpiło tym razem". Izraelczyk twierdzi, że błędy bardzo łatwo usunąć i zaleca producentowi pośpiech - jego zdaniem jest tylko kwestią czasu, zanim "źli goście je odnajdą". Ostatnie jak dotąd łatki dla iPhone zostały przez spółkę z Cupertino opublikowane 12 września, w ramach wersji 2.1 oprogramowania dla telefonu (usuwały osiem problemów z zabezpieczeniami).


Zobacz również