XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > iPhone 4S-in hack olunması Mobil Pwn2Own müsabiqəsində nümayiş etdirildi

20 Sen 2012

Xakerlərə iOS cihazlarındakı şəkilləri və ünvan kitabçasını oğurlamağa imkan verən bug (boşluq) Amsterdamda keçirilən EUSecWest təhlükəsizlik konfransında təqdim edildi.

Bugün Holland təhlükəsizlik tədqiqatçıları zərərlı veb səhifə vasitəsiylə iPhone 4S cihazından şəkillərin, ünvan kitabçasının və browser tarixçəsinin necə hack olunaraq serverə yüklənməsini təqdim etdilər.

Bu boşluq Mobil Pwn2Own yarışının iştirakçıları kimi Amsterdamda keçirilən EUSecWest təhlükəsizlik konfransında auditoriyaya təqdim edildi.

Holland şirkəti olan "Certified Secure"-nın əməkdaşları olan Joost Pol və Daan Keuperin sözlərinə görə onlar bu qüsuru iOS 5.1.1 versiyası üzərində müəyyən etməklərinə baxmayaraq bu boşluq iOS 6 versiyasında qalmaqdadır və demək olar ki, bu boşluq iPhone 5 üçün də keçərlidir. Onlar bu qüsurun iPad cihazlarında olduğunu qeyd etdilər.

Tədqiqatçılar veb vasitəsi ilə boşluğun istismar edilməsi yarım günlük iş rejimi ilə çox əziyyət sərf etmədən sadəcə bir neçə həftəyə hazırladıqlarını qeyd etdilər. Əlavə olaraq iOS-də və bu kimi texnikalarda boşluqların çox əziyyət çəkilmədən asanlıqla tapılmasının mümkün olduğunu qeyd etdilər.  

Pol izah etdi ki, əgər müəyyən zərərverici kodu girilən səhifədə yerləşdirsək və Safari ilə həmin veb səhifəyə giriş zamanı safarini aldatmaq mümkündür. Pol əlavə olaraq qeyd etdi ki, bu kimi kodları xəbər saytlarında reklamlara və bu kimi istənilən saytlarda istənilən hissəyə yerləşdirsək bu kod işləyəcək.

Keuper qeyd etdi ki, biz heç kimin bu boşluqdan sui-istifadı etməsini istəmirik ona görə bunun tam olaraq necə işlədiyini açıq olaraq söyləmirik.

Hər iki tədqiqatçı Apple-ın bu boşluq barədə nə düşünəcəyinin maraqlı olduğunu dedilər. Apple yeqin ki, yaxın zamanda öz yamağı (patch) ilə təkmilləşdirmə işini davam etdirəcək və istifadəçilər yaxşı olar ki, yamaq çıxan kimi öz cihazlarının program təminatını yeniləsinlər. Pol tapılan bu boşluğa baxmayaraq iPhonun ən etibarlı telefon olduğu qənaətində olduğunu qeyd etdi. 

Başqa hədiyyələrlə yanaşı Pol və Keuper bu tədqiqatına görə $30,000 qazandılar.

Yarışmanı təşkil edən HP DVLabs-ın Zero Day Initiative (ZDI) proyektinin meneceri Brian Gorenc, hər bir browser boşluğunun tədqiq edilməsi və tapılmasının təqdirə layiq olduğunu qyed etdi. Brian Gorenc qeyd etdi ki, baxmayaraq ki,mən bu boşluqda Apple-ı günahkar görmürəm amma bu qüsur tezliklə aradan qaldırılmalıdır. Brian bu boşluq və qüsur haqda tam məlumatın Apple-da göndəriləcəyini qeyd etdi.

  

Mənbə: Techworld News