Rebecca MacKinnon: Let's take back the Internet!
Apple je preostalo više od jednog dana kako bi se zakrpio bug u svom iPhone softveru koji bi mogao dopustiti hakerima da preuzmu iPhone, samo slanje i SMS poruka (Short Message Service).
Bug otkrio je poznati iPhone haker Charlie Miller, koji je prvi put pričao o pitanju na SyScan konferenciji u Singapuru. U to vrijeme, rekao je da je otkrio način za slanje iPhonea putem SMS-a i mislio je da bi pad mogao naposljetku dovesti do koda za rad.
Od tada, naporno radi, a sada kaže da je u mogućnosti preuzeti iPhone s nizom zlonamjernih SMS poruka. U intervjuu u utorak, Miller je kazao kako će pokazati kako se to može učiniti tijekom prezentacije na konferenciji za sigurnost Black Hat u Las Vegasu ovog četvrtka s istraživačem sigurnosti Collin Mulliner.
[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]"SMS je nevjerojatan vektor napada za mobilne telefone", izjavio je MIller, analitičar s neovisnim procjeniteljima sigurnosti. "Sve što trebam je vaš telefonski broj. Ne trebam te kliknuti vezu ili bilo što drugo."
Miller je prijavio nedostatak Appleu prije otprilike šest tjedana, ali proizvođač iPhonea tek treba izdati zakrpu za taj problem. Predstavnici Applea nisu mogli doći do komentara, ali tvrtka obično šuti o softverskim nedostacima dok ne otpušta patch.
Ako se oslobodi prije zakrpu Black Hat, Apple neće biti sam. Microsoft se morao otimati da bi javio hitni popravak za problem u svojoj Active Template Library (ATL), koji se koristi za izradu ActiveX kontrola. Ovaj "out-of-cycle" patch je objavljen u utorak, ispred druge Black Hatove prezentacije o toj ranjivosti.
Millerov napad zapravo ne pojavljuje shellcode - osnovni softverski napadači koriste kao koračni korak za pokretanje vlastiti programi na hakiranom stroju - ali mu omogućuje da nadzire upute koje se nalaze u procesoru telefona. Uz još nekog posla, netko bi mogao uzeti ovaj iskorištavanje i pokrenuti shellcode, rekao je Miller. Iako je riječ o staroj tehnologiji, SMS se pojavljuje u obećavajućem području sigurnosnih istraživanja, budući da sigurnosni istraživači koriste moćne računalne mogućnosti iPhonea i Googleovog Android kako bi se bliži pogled na način na koji radi na mobilnim mrežama.
U četvrtak će dva druga istraživača, Zane Lackey i Luis Miras, pokazati kako mogu prevesti SMS poruke koje bi normalno poslali samo poslužitelji na nosaču. Ova vrsta napada može se koristiti za promjenu nečije telefonske postavke, jednostavno slanje SMS poruka.
Miller vjeruje da će se pojaviti više SMS busova i da bi im pomogli u pronalaženju, on i Mulliner razvili su SMS "fuzzing "alat koji se može koristiti za čekiće mobilnog uređaja s tisućama SMS poruka bez prijenosa poruka putem bežične mreže (skupo nastojanje).
Alat, koji on naziva injektorom, radi na iPhone OS, Android i mobilni telefoni sa sustavom Windows Mobile
Alat se smješta između procesora računala i modema i čini izgleda da su SMS poruke doista prolazile putem modema, kada ih telefon generira.
Sigurnosne vijesti dominirale su ovog tjedna, a to će nesumnjivo biti slučaj i sljedećeg tjedna, u tijeku konferencije Black Hat i Defcon u Las Vegasu. U međuvremenu, dioničari Yahooa sastali su se u petak na godišnjem sastanku, s manje vatrometa nego što se očekivalo.
1. DNS zakrpe uzrokuju probleme, priznaju programeri: Zakrpe za ranjivost DNS (Domain Name System) koja je generirala toliko buzza dovela su do problema s performansama za poslužitelje koji rade na softveru BIND (Berkeley Internet Name Domain). BIND je najpopularniji DNS softver. Administratori ne bi trebali vratiti patch objavljen 8. srpnja, rekao je Paul Vixie, voditelj konzorcija za internetske sustave koji nadgleda BIND. "Ranjivost je više zabrinutost od sporog poslužitelja", rekao je. Ažuri
Pirate Bay sudac oslobođen od pristojbi pristranosti
ŠVedski žalbeni sud je utvrdio da sudac u predmetu The Pirate Bay nije bio pristran.
ŠTo je Black Hat, Gray Hat ili White Hat Hacker?
Kako definirate Black Hat Hacker? Tko je White Hat Hacker? Što je Gray Hat Hacker ili zelena, plava ili Red Hat Hacker.