Applen iOS järjestelmässä kerrotaan olevan virhe, joka mahdollistaa hyökkäykset iPhohessa ja iPadissa allekirjoittamattoman koodin avulla. Taitava hyökkääjä pystyy kiertämään Applen App Store -sovelluskaupan ohjelmistojen tarkistuskäytännöt ja hyödyntämään virhettä.
Accuvant-yhtiön tutkija Charlie Millerin havaitseman bugin avulla hyökkääjä voi ohjelmoida sovelluksen mm. urkkimaan uhrin laitteella olevia tietoja. Hyökkäyksen uhri ei pysty huomaamaan urkintaa.
Threatpost.com-sivustolla kerrotaan, että Miller on kehittänyt haitattoman esimerkkisovelluksen, joka on ollut App Storessa syksystä lähtien. Millerin Instastock-sovellus näyttää reaaliaikaisia osaketietoja. Miller kuitenkin liitti sovellukseen kokeeksi bugia hyödyntävän toiminnallisuuden, jonka avulla sovellus kommunikoi hänen ohjaamansa palvelimen kanssa.
Miller pystyy antamaan sovellukselle käskyjä, ja suorittamaan sen avulla uhrin laitteella erilaisia toimintoja. Miller pääsee sovelluksensa avulla mm. laitteen käyttäjän yhteystietoihin.
Ohessa on Millerin tekemä video aiheesta:
Applen rajoitukset kierrettävissä
Miller pystyy löytämänsä virheen ansiosta kiertämään Applen rajoitukset, joilla estetään allekirjoittamattoman haitallisen koodin pyörittäminen iPhonessa ja iPadissa.
Miller kertoi bugista Applelle viime kuussa ja hän uskoo yhtiön julkaisevan korjauksen ongelmaan lähitulevaisuudessa. Millerin mukaan virhe koskee iOS versioita 4.3 ja sitä myöhempiä versioita.
- Apple ei pidä tällaisesta tilanteesta, jossa he menettävät alustansa kontrollin. Tämä on heille vakava paikka, toteaa Miller.
iPhonen alusta on rakennettu siten, että se pyörittää vain allekirjoitettuja ohjelmia, jotka on asennettu App Storesta. Käyttäjät ovat kuitenkin pystyneet kiertämään rajoitusta haavoittuvuuksien kautta. Ns. jailbreakkauksen avulla käyttäjät ovat onnistuneet lataamaan laitteisiinsa kolmansien osapuolten sovelluksia.
Millerin löytämässä virheessä ei ole kyse jailbreakkauksesta, mutta se on omalla tavallaan yhtä vaarallinen. Se nimittäin osoittaa, että käyttäjät eivät voi luottaa siihen, että Applen tarkistusprosessi olisi toiminut kaikkien App Storesta löytyvien sovellusten osalta.
Millerin sovelluksen ladanneiden ei kuitenkaan tarvitse olla huolissaan, sillä App Storeen ujutettua kokeiluohjelmaa ei ole käytetty käyttäjien tietojen urkkimiseen.
Bugia ei huomattu, mutta Hasselhoff-ohjelma kiellettiin
Millerin ensimmäiset yritykset ujuttaa demo-ohjelma App Storeen epäonnistuivat.
Syynä ei ollut kuitenkaan se, että Applella olisi hoksattu bugin olemassaolo. Miller nimittäin kehitti demonsa alustaksi ensin ohjelman, jonka avulla käyttäjä pystyy zoomailemaan David Hasselhoffin kuvia. Apple torjui ohjelman, koska sillä ei ole mitään arvoa käyttäjille. Minne ovat Ritari Ässä -fanit kadonneet?
Uusimmat
-
08:33
Eeli, 6, ja Arvi, 3, arvostelivat pääsiäismunat – katso testin voittajat
-
08:22
Kaksi somevaikuttajaa kiinni rahapelien tyrkyttämisestä – yrittivät kieltää, mutta todisteet puhuvat puolestaan
-
08:19
Roope Hintz hyppäsi sankarin haarniskaan – Dallas Stars teki sen
-
07:55
Tappara säväytti kahdesti – taiturihyökkääjä varoittaa supersikermän sudenkuopasta: "Sitä on painotettu"
-
07:34
Aleksander Barkov saavutti mellevän rajapyykin – Sebastian Ahon hurjastelusta iloa Floridalle
-
07:31
MTV halusi selvittää eri tapoja hoitaa koiran hampaita – yhtäkkiä esille otettiin juristit
-
07:29
USU: Hallitus kaavailee, että muukin kuin erityisopettaja voisi antaa erityisopetusta ammatillisessa koulutuksessa
-
07:17
EK2: Suomalaisille kaksoisvoitto, Rovanperä nousi kärkeen – MTV seuraa
-
07:01
Kohdunkaulan syöpään sairastunut Jasmiina Yildiz sai lisää järkyttäviä uutisia: "Syöpä levinnyt reiden imusolmukkeisiin"
-
07:00
Koskettavia tarinoita, erikoishaastatteluita ja vinkkejä ruokapöytään – tätä kaikkea löydät MTV Katsomosta pääsiäisenä
-
06:58
Israel teki ilmaiskun Pohjois-Syyriaan – eri lähteiden mukaan yli 30 ihmistä on kuollut
-
06:31
Macron väläyttää: Putin voitaisiin kutsua G20-huippukokoukseen
-
06:30
Venäjän kohukiekkoilijan tilanteessa iso käänne
-
06:29
Tällainen sairaus on punkin levittämä puutiaisaivokuume – jopa pysyviä keskushermoston oireita
-
06:15
Podcast: Jasmiina Yildiz, 26, sairastui kohdunkaulan syöpään
-
05:58
Leo Komarov hiljeni pelikiellostaan
-
05:56
Ainakin neljä ihmistä kuollut Nelson-myrskyssä - Koko Pohjois-Espanjaan säävaroituksia
-
05:49
Tällainen oli kiduttajakapteenin uhrillaan allekirjoituttama sopimus – viittaus valta-asemaan
-
05:20
Miksi Suomen sotilaat pystyisivät siihen, missä Ukrainan Leopardit ja Putinin tankit epäonnistuvat? Pekka Toveri selvittää
-
22:38
Biden yrittää kerätä ennätyspottia vaalikassaansa – liput gaalailtaan jopa 500 000 dollaria
-
Lataa lisää