Jednym z pierwszych poległych na tegorocznej konferencji CanSecWest jest iPhone. Trzech specjalistów od zabezpieczeń potrzebowało jedynie 20 sekund na pobranie całej bazy danych SMSów, łącznie z już skasowanymi.
Vincent Iozzo, Ralf Philipp Weinmann i Halvar Flake najpierw przygotowali specjalną witrynę, a na samej konferencji wystarczyło jej odwiedzenie z poziomu Safari, aby pobrać odpowiednią bazę danych. Przygotowania zajęły im około dwóch tygodni.
Zwracam uwagę, że mówimy o iPhone w wersji 3.1.3 oraz bez jailbreaka. Panowie hackerzy mówią, że Apple ma całkiem sprawne zabezpieczenie, ale niektóre aspekty podpisywania kodu są zbyt leniwe i dzięki temu udało im się dotrzeć do bazy danych.
Podczas odwiedzin wcześniej przygotowanej strony, przeglądarka Safari na iPhonie wykrzaczyła się. Weinmann jednak zapewnił, że przy większym wysiłku byliby w stanie tak przygotować stronę, aby nie nastąpiło wysypanie się Safari.
Weinmann również powiedział, że ich exploit mógłby również pobrać listę kontaktów z telefon, bazę danych emaili, zdjęcia oraz pliki muzyczne iTunes.
Panowie zgarneli 15.000 zielonych za swoje wysiłki, w prezencie dostali zhackowanego iPhone, a Apple zostanie naturalnie poinformowane o luce.
Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.