В одном из предыдущих номеров «Яблони» я уже рассказывал нашим читателям о том, что три исследователя компьютерной безопасности из Технологического института Джорджии разработали прототип зарядного устройства, которое позволяет в считанные минуты взламывать мобильные гаджеты Apple, работающие под управлением последних версий iOS 6, и устанавливать на них вредоносное ПО.

В эти дни в Лас-Вегасе проходит конференция Black Hat, на которой Билли Лау (Billy Lau), Йонгджин Джанг (Yeongjin Jang) и Ченгуй Сонг (Chengyu Song) получили возможность выступить перед многочисленной аудиторией и продемонстрировать найденный ими метод автоматического взлома iPhone, подключенного к тому самому зарядному устройству. Правда, было бы правильней называть созданный гаджет не «вредоносной зарядкой», а полноценным компьютером на базе Linux, пускай и очень маленьким (размером с кредитную карточку). На его проектирование ушла неделя, а стоимость использованных компонентов составила всего 45$.

Во время данной презентации мы покажем, как iOS-девайс может быть взломан в течение всего одной минуты после подключения к вредоносному зарядному устройству. Для начала мы рассмотрим существующие механизмы обеспечения безопасности, благодаря которым Apple защищает систему от произвольной установки программного обеспечения, а затем опишем, какие возможности USB могут быть использованы для обхода этих защитных механизмов. И чтобы обеспечить сохранность загруженного вредоносного кода, мы продемонстрируем, как злоумышленник может скрыть свое программное обеспечение по аналогии с тем, как Apple скрывает в системе некоторые встроенные приложения.

В ходе выступления сотрудники Технологического института Джорджии успешно взломала тестовый iPhone и запрограммировала его позвонить на другой телефон. Однако, настоящим киберпреступникам этот метод будет, скорее всего, недоступен.

Reuters сообщает, что практически сразу группа исследователей поставила Apple в известность, отправив в компанию детальные отчеты с описанием обнаруженных уязвимостей, и уже в последней бета-версии iOS 7 они были устранены:

По словам пресс-службы Apple, проблема была решена в последней бета-версии iOS 7, которая недавно стала доступна зарегистрированным разработчикам.

«Мы хотели бы поблагодарить исследователей за их ценный вклад», — сказал представитель Apple Том Неймайр (Tom Neumayr).

Отныне в подобных случаях iДевайс с помощью специального уведомления будет сообщать своему владельцу, что перед ним не безобидное зарядное устройство, а компьютер, который пытается получить доступ ко всем хранящимся данным. И уже пользователь самостоятельно сможет решить, доверять такому компьютеру или нет.


Читайте также: