komanda teigia radusi klaidą Apple iPhone įrenginyje, kuri leidžia jiems perimti įrenginio kontrolę.
Tyrėjai, dirbantys Independent Security Evaluators kompanijai, kuri tikrina klientų kompiuterių saugumą įsilauždama į juos, teigia galintys perimti iPhone kontrolę naudodamiesi WiFi prisijungimu arba įviliodami vartotojus į kenksmingą internetinį tinklalapį. Įsilaužimas, kaip buvo pranešama iš pradžių, leido jiems gauti asmeninę informaciją, patalpintą telefone.
Nors Apple įdiegė svarstytinus saugumo metodus į savo įrenginį, sako Charles A. Miller, principinio saugumo analitikas šioje firmoje, „Kai randi klaidą, gali visiškai kontroliuoti įrenginį“. Firma, įsikūrusi Baltimorėje, Merilendo valstijoje, perspėjo Apple dėl pažeidžiamumo šią savaitę ir rekomendavo programinį pataisymą, kuris galėtų išspręsti problemą.
Apple spaudos atstovė Lynn Fox sako: „Apple į saugumą žvelgia labai rimtai ir turi didelį sąrašą potencialių pažeidžiamumų dar prieš tai, kai jie paveikia vartotojus.“
„Mes peržiūrinėjame pranešimą, parašytą I.S.E. (anksčiau minėtoji saugumo kompanija) ir visuomet priimame pastabas, kurios padėtų padidinti mūsų įrenginių saugumą“, – teigia Apple atstovė.
Nėra jokių įkalčių, kad ši klaida buvo išnaudota ar nuo jos nukentėjo vartotojai.
Dr. Miller’is, buvęs JAV Nacionalinio Saugumo Agentūros darbuotojas, kuris turi daktaro laipsnį kompiuterių srityje, pademonstravo įsilaužimą reporteriui pasinaudodamas jo iPhone interneto naršyklę (Safari), kad apsilankytų paties sukurtame internetiniame puslapyje.
Kai jis prisijungė, puslapis paleido kenksmingą kodą, kuris užėmė telefoną. Telefonas sekė instrukcijas ir perdavė bylų rinkinį, kuriame buvo ir nesenos tekstinės žinutės, el. pašto adresų sąrašas, atakuojančiam kompiuteriui.
„Mes galime gauti kurią tik norime bylą“, – teigė jis. „Potencialiai ataka galėtų būti panaudota užprogramuoti telefoną skambinimui, o tokiu atveju auka gautų dideles sąskaitas. Taip pat telefoną būtų galima paversti nešiojamu erzinimo įrenginiu“, – pridėjo specialistas.
Steven’as M. Bellovin’as, Kolumbijos universiteto kompiuterijos profesorius sako: „Šis įsilaužimas atrodo genialiai“. S.M.Bellovin, kuris ilgą laiką buvo AT&T Labs kompiuterių saugumo ekspertu, teigia kad iPhone pažeidžiamumas buvo neišvengiamas kompiuterių ir telefonų vystymosi rezultatas.
„Jau ne vienerius metus žinome, kad virusai ir kirminai kėsinasi tapti telefonų problema, kai šie tapo truputį galingesni – štai ir iškilo problemos”, – teigia S.M.Bellovin. „iPhone yra visavertis kompiuteris ir jis tikrai turi kompiuterių lygio problemų.“
S.M. Bellovin teigia įtaręs, kad telefonai, naudojantys Windows Mobile operacinę sistemą bus panašiai atakuojami, tačiau jis kol kas nėra girdėjęs apie tokias atakas.
„Tai nėra pasaulio pabaiga; tai nėra iPhone pabaiga“, – sako jis, – „Juk įprasti pažeidžiamumai kompiuterių naršyklėse nenužudė kompiuterių. Tai ženklas, kad negalima nuleisti apsaugos kartelės. Tai ženklas, kad mums reikia gaminti dar geresnę programinę įrangą ir sistemas.“
Pažeidžiamumo detalės, tačiau ne telefono laužimo gidas, galima rasti www.exploitingiphone.com svetainėje, kurią tyrėjai teigė atidarysią šiandien.
Viso pasaulio įsilaužėliai bandė atskleisti iPhone paslaptis nuo pat jo išleidimo praeitą mėnesį; dauguma koncentravo savo jėgas į bandymus „atrakinti“ iPhone nuo jo bevielio ryšio tiekėjo AT&T ir bandyti paleisti nenumatytas programas įrenginyje. iPhone yra uždara sistema, kuri negali priimti išorinių programų ir gali būti naudojama tik AT&T bevieliame tinkle.
Kai kurie minėtų įsilaužėlių pateikė savo pasiekimų ataskaitas internete. Žinių pateikimas prasidėjo penktadienį, kai įsilaužėlis vardu „Nightwatch“ sukūrė ir paleido nepriklausomą programą įrenginyje.
Independent Security Evaluators tyrėjai sugebėjo nulaužti telefono programinę įrangą per savaitę, teigia Avieli D. Rubin, kompanijos įkūrėjas ir informacijos saugumo instituto Johns Hopkins universitete techninis direktorius. Avieli D. Rubin, kuris nusipirko iPhone dieną po jo išleidimo, interviu teigė, kad jis pasiūlė trims kolegoms Dr. Miller, Joshua Mason ir Jake Honoroff įdomų prizą, jeigu jie sugebėtų „nulaužti“ iPhone. „Aš pasakiau vaikinams, kad nupirksiu jiems iPhone telefonus.“
Dr. Miller jau buvo bandęs išnaudoti spragas kompiuterinėse Safari naršyklės versijose ir planavo atskleisti tą pažeidžiamumą, žinomą, kaip buferio perpildymą, Black Hat kompiuterių saugumo konferencijoje sekantį mėnesį. Dr. Miller iš karto pagalvojo pabandysiąs patikrinti ar telefonas, kuris taip pat naudoja Safari, bus taip pat pažeidžiamas.
Avieli D. Rubin teigia kad tyrimo tikslas nebuvo parodyti, kad iPhone tikrai yra pažeidžiamesnis nei kiti telefonai ar kad Apple produktai yra nesaugesni, negu kitų kompanijų. „Viskas, kas yra taip sudėtinga, kaip kompiuteris – koks ir yra šis telefonas – turės pažeidžiamumų“, – sako jis.
Yra žymiai daugiau virusų, kirminų ir kitos kenksmingo programinės įrangos, paveikiančios Windows sistemas, negu Apple sistemas. Tačiau, anot p. Rubin, Apple produktai pritraukė mažiau atakų dėl to, kad jų kompiuteriai turi mažiau vartotojų, o įsilaužėliai siekia didesnio poveikio.
„Windows nuolat laužiami ne dėl to, kad jie mažiau saugūs, nei Apple, tačiau todėl, kad 95 procentai kompiuterių vartotojų naudoja Windows. Kiti 5 procentai mėgavosi medaus mėnesiu, kuris laikui bėgant baigsis.“
iPhone tampa savo sėkmės auka. „Ironiška tai, kad kuo kas nors yra populiaresnis, tuo nesaugesnis jis tampa, nes populiarumas nupiešia didelį taikinį ant jo nugaros.“
Avieli D. Rubin’as sakė, kad jo tikslas buvo atrasti pažeidžiamumus ir perspėti apie juos, kad kompanijos apsaugotų savo produktus, o klientai būtų užtikrinti, kad technologijos, kurias jie naudoja, yra visiškai saugios.
p. Rubin’as sako: „Aš dabar dukart pagalvosiu prieš jungdamasis prie atsitiktinio WiFi tinklo“, – tačiau jo nuomonė apie telefoną dėl to nepasikeitė:
„Jūs turėtumėt išplėšti jį iš mano šaltų mirusių rankų, kad atimtumėte jį iš manęs“, – teigia jis.