Атака IPhone SMS для развязывания в Black Hat

У Apple осталось чуть больше дня, чтобы исправить ошибку в ее программном обеспечении для iPhone, которое позволило хакерам захватить iPhone, просто отправив сообщение и сообщение SMS (Short Message Service).

Ошибка был обнаружен известным хакером iPhone Чарли Миллером, который впервые рассказал об этой проблеме на конференции SyScan в Сингапуре. В то время, он сказал, что он нашел способ врезаться в iPhone через SMS, и что он думал, что авария может в конечном итоге привести к разработке коды атаки.

Так как, то он работает тяжело, и теперь он говорит, что он способный взять на себя iPhone с рядом вредоносных SMS-сообщений. В интервью во вторник Миллер сказал, что покажет, как это можно сделать во время презентации на конференции по безопасности Black Hat в Лас-Вегасе в этот четверг с исследователем безопасности Коллином Маллинером.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

«SMS - это невероятный вектор атаки для мобильных телефонов», - сказал Миллер, аналитик Independent Independent Evaluators. «Все, что мне нужно, это ваш номер телефона. Мне не нужно, чтобы вы щелкали ссылку или что-то еще».

Миллер сообщил об ошибке компании Apple около шести недель назад, но разработчику iPhone еще предстоит выпустить исправление для этой проблемы. Представители Apple не смогли получить комментариев, но компания обычно молчит о недостатках программного обеспечения, пока не выпустит патч.

Если он выпустит патч до черной шляпы, Apple не будет в одиночку. Microsoft пришлось бороться за устранение проблемы в своей активной библиотеке шаблонов (ATL), используемой для создания элементов управления ActiveX. Этот «вне цикла» патч был выпущен во вторник, опередив еще одну презентацию Black Hat об этой конкретной уязвимости.

Атака Миллера фактически не выдает шелл-код - основные злоумышленники-злоумышленники используют в качестве ступеньки для запуска своих собственные программы на взломанной машине, но он позволяет ему управлять инструкциями, которые находятся в процессоре телефона. С другой стороны, кто-то может воспользоваться этим эксплойтом и запустить шелл-код, сказал Миллер.

Хотя это старая технология, SMS становится перспективной областью исследований безопасности, поскольку исследователи безопасности используют мощные вычислительные возможности iPhone и Android от Google более подробно рассмотрим, как он работает в мобильных сетях.

В четверг два других исследователя Зейн Лэки и Луис Мирас покажут, как они могут обманывать SMS-сообщения, которые обычно отправляются серверами на носителе. Этот тип атаки может быть использован для изменения настроек телефона человека, просто отправив им SMS-сообщение.

Миллер считает, что появится больше SMS-автобусов, и, чтобы помочь им найти, он и Маллинер разработали SMS-сообщение «fuzzing «инструмент, который можно использовать для забивания мобильного устройства тысячами SMS-сообщений без фактической отправки сообщений по беспроводной сети (дорогостоящее усилие).

Инструмент, который он называет Инжектор, работает на iPhone OS, Android и Windows Mobile.

Инструмент вставляет себя между компьютерным процессором телефона и модемом и делает его похожим на то, что SMS-сообщения действительно проходят через модем, когда на самом деле они генерируются телефоном.