Ερευνητές αποκαλύπτουν τους κωδικούς κλειδωμένου iPhone
Δημοσιεύτηκε: Παρ 11 Φεβ 2011, 08:20
Ερευνητές αποκαλύπτουν τους κωδικούς κλειδωμένου iPhone σε λιγότερο από έξι λεπτά
Γερμανοί ερευνητές του ινστιτούτου Fraunhofer SIT, έκαναν επίδειξη των διαδικασιών που επιτρέπουν σε έναν υποθετικό εισβολέα να εισβάλει και να αποκαλύψει τους κωδικούς πρόσβασης που αποθηκεύονται σε ένα κλειδωμένο iPhone σε λιγότερα από έξι λεπτά και χωρίς να χρειαστεί να σπάσει τον κωδικό του τηλεφώνου.
Η εν λόγω επίθεση απαιτεί απλά μια συσκευή iPhone και στοχεύει στο μοναδικό keychain της συσκευής, δηλαδή τον κωδικό της πλατφόρμας αποθήκευσης του iPhone. Οι ερευνητές, με τη χρήση υπαρχόντων exploits, είναι σε θέση να κάνουν jailbreak τη συσκευή και να εγκαταστήσουν έναν SSH server ο οποίος θα τους επιτρέψει να εκτελέσουν ερωτήματα (queries) στην βάση δεδομένων αλλά και να τρέξουν προγράμματα τρίτων.
Μόλις αποκτήσουν πρόσβαση, οι ερευνητές αντιγράφουν ένα script στο τηλέφωνο και αποκτούν πρόσβαση στο keychain. Έπειτα με ενσωματωμένη λειτουργία του συστήματος που χρησιμοποιούν για να "ανοίξουν" το keychain, εξάγουν όλους τους κωδικούς του χρήστη χωρίς να χρειαστεί να χρησιμοποιήσουν μεθόδους που σπάνε οποιαδήποτε μέθοδο προστασίας της συσκευής. Με αυτό τον τρόπο, ο επίδοξος χάκερ αποκτάει πρόσβαση σε κωδικούς Gmail, Exchange, LDAP λογαριασμών, voicemail, VPN, Wi-Fi, ακόμα και κωδικούς μερικών εφαρμογών.
Γερμανοί ερευνητές του ινστιτούτου Fraunhofer SIT, έκαναν επίδειξη των διαδικασιών που επιτρέπουν σε έναν υποθετικό εισβολέα να εισβάλει και να αποκαλύψει τους κωδικούς πρόσβασης που αποθηκεύονται σε ένα κλειδωμένο iPhone σε λιγότερα από έξι λεπτά και χωρίς να χρειαστεί να σπάσει τον κωδικό του τηλεφώνου.
Η εν λόγω επίθεση απαιτεί απλά μια συσκευή iPhone και στοχεύει στο μοναδικό keychain της συσκευής, δηλαδή τον κωδικό της πλατφόρμας αποθήκευσης του iPhone. Οι ερευνητές, με τη χρήση υπαρχόντων exploits, είναι σε θέση να κάνουν jailbreak τη συσκευή και να εγκαταστήσουν έναν SSH server ο οποίος θα τους επιτρέψει να εκτελέσουν ερωτήματα (queries) στην βάση δεδομένων αλλά και να τρέξουν προγράμματα τρίτων.
Μόλις αποκτήσουν πρόσβαση, οι ερευνητές αντιγράφουν ένα script στο τηλέφωνο και αποκτούν πρόσβαση στο keychain. Έπειτα με ενσωματωμένη λειτουργία του συστήματος που χρησιμοποιούν για να "ανοίξουν" το keychain, εξάγουν όλους τους κωδικούς του χρήστη χωρίς να χρειαστεί να χρησιμοποιήσουν μεθόδους που σπάνε οποιαδήποτε μέθοδο προστασίας της συσκευής. Με αυτό τον τρόπο, ο επίδοξος χάκερ αποκτάει πρόσβαση σε κωδικούς Gmail, Exchange, LDAP λογαριασμών, voicemail, VPN, Wi-Fi, ακόμα και κωδικούς μερικών εφαρμογών.