IPhone problèmes de sécurité nouveaux risques Computerworld

En quatre jours seulement, non pas un mais deux vers ciblant l’iPhone ont émergé. Les deux vers ciblent la même vulnérabilité, un mot de passe par défaut dans le serveur SSH qui est installé sur les iPhones cassé prison-comment récupérer une vidéo sur Android. Alors que l’un ver est surtout une nuisance, le deuxième siphons renseignements personnels de l’iPhone, ce qui en fait une grave menace contre le vol d’identité.

La vulnérabilité ciblée existe que dans un iPhone qui a été en prison brisé, ce qui signifie qu’il a été ouvert pour installer le logiciel à partir d’autres sources que le système iTunes d’Apple Recover Photos iphone 6. L’une des premières applications installées sur un téléphone de prison brisé est un serveur sécurisé Shell (SSH) qui permet cryptées connexions terminales à une interface de ligne de commande. Via SSH, les utilisateurs peuvent exécuter des commandes shell Unix de base sur l’iPhone, ce qui rend très flexible.


Je dois admettre que j’ai prison brisé mon iPod Touch, qui est presque identique à l’iPhone, afin d’expérimenter avec des applications non approuvées. SSH est lui-même très sûr, cependant, lors de la première installation, il a un mot de passe root par défaut afin que les utilisateurs peuvent se connecter pour la première fois récupérer les vidéos supprimées sur téléphone Android. Les instructions accompagnant les différentes versions de logiciel révolutionnaire prison ont de grands avis d’avertissement aux utilisateurs de modifier immédiatement le mot de passe, mais beaucoup ne le font pas.

Le premier ver qui a émergé un peu plus d’une semaine est vraiment plus il y a une preuve de concept. La promotion de l’Internet mème "Rick laminage", Il apporte l’artiste Rick Astley dans le téléphone au format logiciel de récupération de la carte mémoire de l’utilisateur en ligne. Le ver, nommé "ikee" par l’auteur, installe une photo de Rick Astley comme l’arrière-plan par défaut superposé avec les mots "ikee ne va jamais vous abandonner" corrompu androïde de récupération de carte SD. Antivirus Sophos fournisseur a fourni un échantillon d’analyse et le code du ver dans un billet de blog.

Bien que la plupart du temps inoffensifs, le ver est difficile à enlever et crée une nuisance. La lecture du code source du ver, vous pouvez voir le commentaire de l’auteur "Les gens sont stupides, et cela est de le prouver RTFM si ses pas si difficile gars", Se référant probablement aux avertissements sur la modification du mot de passe SSH, qui ne sont pas suivies.

Moins d’une semaine plus tard, Mac fournisseur de sécurité Intego a découvert un second ver ciblant la même vulnérabilité. Contrairement à ikee, le ver "iPhone / Privacy.A" est non seulement une nuisance ou une preuve de réparation concept récupérés mp4 fichiers vidéo. Ce ver se trouve sur un ordinateur et scanne l’espace IP pour les signes d’un iPhone connecté Wi-Fi avec le mot de passe SSH par défaut. Une fois qu’il trouve un, il siphonne toutes les données personnelles de l’utilisateur, y compris e-mail, contacts, photos et autres fenêtres de données live mail récupération de mot de passe Télécharger. Il n’y a aucune indication que le second ver a été écrit par le même auteur du premier ver, qui a depuis été identifié.

Ces deux vers ne ciblent pas une vulnérabilité du système en tant que tel. Le processus de prison-rupture est pas en soi la cause de cette vulnérabilité supprimé photo application de récupération pour Android. Ce que les deux vers démontrent est l’intérêt accru que les pirates montrent aux plates-formes mobiles, en particulier le très populaire iPhone récupérer des photos supprimées sur téléphone Android. Avec près de 6% à 8% des iPhones auraient cassé la prison, ces types de vers ont beaucoup de cibles. Malheureusement, ce n’est que le début des attaques contre les appareils mobiles, un phénomène prédit par la plupart des professionnels de la sécurité plus d’une décennie il y a récupération de données zar. Malheureusement, les appareils mobiles ne disposent pas encore des contrôles de sécurité bien au-delà d’un pare-feu de base et un ensemble fermé d’applications. Ce n’est pas suffisant.