10 questions clés pour son projet d’application mobile - #ECOMGUEST - Market Academy & Synertic
L'attaque théorique en question exploite une faiblesse dans la façon dont les iPhones traitent les SMS reçus par SMS. Message Service), a déclaré le chercheur en sécurité Charlie Miller, lors d'une présentation à la conférence SyScan à Singapour jeudi. Il n'a pas fourni une description détaillée de la vulnérabilité de SMS.
Miller est une autorité sur la sécurité de MacOS X, et est un co-auteur de The Mac Hacker's Handbook.
[En savoir plus: Les meilleurs téléphones Android pour tous budget.]
Une faille SMS pourrait permettre à un attaquant d'exécuter du code logiciel sur le téléphone qui est envoyé par SMS sur le réseau d'un opérateur mobile. Dans le cas de Miller, il semble qu'il ait utilisé la faille qu'il a trouvée pour briser à distance un iPhone, signe qu'une attaque plus sérieuse pourrait être possible.Si oui, le code malveillant pourrait théoriquement inclure des commandes pour surveiller l'emplacement du téléphone GPS, allumer le microphone du téléphone pour espionner les conversations, ou faire le téléphone rejoindre une attaque par déni de service distribué ou un botnet, Miller a déclaré
Miller a signalé la vulnérabilité à Apple, espérant qu'il sera réparé. Il envisage de discuter de la faille plus tard lors d'une présentation prévue à la conférence Black Hat USA à Las Vegas
Malgré la vulnérabilité SMS, la version allégée de MacOS X utilisée dans l'iPhone le rend plus sûr que les ordinateurs fonctionnant à plein régime.
Pour commencer, la version allégée de l'OS offre moins d'options aux attaquants, supprimant des applications et des fonctionnalités telles que le support d'Adobe Flash et de Java, qu'ils pourraient autrement exploiter pour les vulnérabilités. En outre, l'iPhone inclut une protection matérielle pour les données stockées en mémoire et le téléphone est conçu pour exécuter uniquement le code logiciel signé numériquement par Apple.
L'iPhone nécessite également des applications pour s'exécuter dans un sandbox, une fonction de sécurité qui isole à partir d'autres applications et limite leur accès aux capacités du téléphone. Mais le SMS offre un moyen aux attaquants d'avoir un meilleur accès aux capacités du téléphone, a dit M. Miller.
"Le SMS est un excellent vecteur pour attaquer l'iPhone", dit-il.
Le plus souvent téléphones, SMS peut également envoyer du code binaire à un iPhone, qui traite ensuite le code sans aucune interaction de l'utilisateur. Chaque message SMS est limité à 140 octets, mais des séquences plus longues peuvent être envoyées au téléphone sous la forme de plusieurs messages qui sont automatiquement réassemblés.
Cette fonctionnalité permet d'envoyer des programmes plus volumineux à un téléphone.
En outre, Les vulnérabilités trouvées dans la fonction SMS de l'iPhone permettent à un attaquant d'accéder directement au téléphone, a expliqué M. Miller. Ce n'est pas le cas des autres applications de l'iPhone, comme son navigateur, où les vulnérabilités ne donnent accès qu'à un sandbox de l'application.
"L'iPhone est plus sécurisé que OS X, mais SMS pourrait être une vulnérabilité critique"
Note de l'éditeur: Ce rapport a été mis à jour le 5 juillet pour corriger le rapport incorrect selon lequel Apple corrige une faille dans la façon dont l'iPhone gère les messages SMS. Il n'y a aucune confirmation qu'une telle solution est en cours, bien que le chercheur qui a trouvé le bug espère qu'il sera corrigé.
L'USTR a rejeté une demande d'information sur un traité secret anticontrefaçon. Représentant (USTR), une partie du bureau du président Barack Obama, a refusé une demande d'information d'une entreprise sur un accord commercial secret anti-contrefaçon en cours de négociation, en invoquant les préoccupations de sécurité nationale. de Knowledge Ecology International, un groupe de recherche et de plaidoyer en propriété intellectuelle, même si Obama, dans une de ses premières notes présidentielles, a
L'USTR sous Obama semble prendre la même position au sujet de l'Accord commercial anti-contrefaçon (ACTA) que sous l'ancien président George Bush, que les documents du traité ne sont pas ouverts au public. L'une des promesses électorales d'Obama était de rendre le gouvernement plus ouvert et plus réceptif au public. L'USTR, dans une lettre adressée au directeur de Knowledge Ecology International, James Love, déclarait que l'ACTA était un accord anticontrefaçon et antipirat Les critiques du secre
"Si vous comprenez la sécurité de l'iPhone fonctionne, je ne pense pas que ce soit une surprise ", a déclaré Charlie Miller, analyste chez Independent Security Evaluators qui a démontré en juillet une vulnérabilité SMS qui pourrait permettre aux pirates de prendre le contrôle du téléphone.
Nicholas Seriot, développeur suisse décrit une application de preuve de concept (PDF) appelée SpyPhone, capable de déterrer et de modifier les contacts, de trouver des recherches Web passées, de stocker des emplacements GPS et Wi-Fi et de copier tout ce que vous avez tapé sur le téléphone sauf les mots de passe. (Non, vous ne pouvez pas le télécharger depuis l'App Store.)
Télécharger Microsoft Fix It pour corriger la vulnérabilité MSHTML Shim dans les anciennes versions d`Internet Explorer
Micros0ft a également publié un Fix It