“Para que esse ataque à base de dados SMS funcione é preciso que o usuário seja burro o bastante para fazer o que não deve num site”.
“O concurso anual CanSecWest PWN2OWN de invasão de computadores aprontou de novo e forneceu novas formas de aperfeiçoar a escolha do que será escrito nas manchetes depois que o iPhone da Apple foi invadido por hackers em apenas 20 segundos. Os hackers em questão, Vincenzo Iozzo e Ralf Weinmann, ganharam o prêmio de US$ 15 mil e um iPhone por terem sido os primeiros a lançar um ataque bem sucedido ao smartphone em Vancouver [Canadá]“, escreve Davey Winder no DaniWeb.
Ele destaca que a realidade não é bem como trombeteiam as manchetes. “Se você olhar por trás delas (incluindo a minha), descobrirá que na verdade levou mais que apenas 20 segundos para executar aquele antes desconheciento ataque usando o navegador Safari do iPhone, o que permitiu que as mensagens SMS do aparelho, incluindo as que já tinham sido apagadas, fossem enviadas a um servidor remoto. Por que mais tempo? Que tal algumas semanas de preparação?”.
“Sim, para que esse ataque à base de dados SMS funcione é preciso que o usuário seja burro o bastante para fazer o que não deve num site, mas isso é o que quer provar a causa da insegurança. Eu diria que o preocupante é que os hackers demonstraram ser relativamente fácil contornar as rotinas de assinatura de código da Apple e explorar privilégios de usuário comum, não-root, principalmente considerando que não estamos falando de aparelhos desbloqueados irregularmente, já que as regras do PWN2OWN exigem que apenas iPhones não modificados sejam usados”, observa Winder.
Leia mais no artigo completo de Winder.
Artigos relacionados
Fuja do lugar comum: venha para o AppleMania!
Loading ...
Posts (RSS)
Como sempre, somos gratos a qualquer um que encontre problemas de segurança e as relate privadamente à Apple para que a empresa os corrija. Isso aumenta a segurança de seus produtos. Pena que, nesse processo, isso gere toneladas de auê sensacionalista na mídia.
Em tais concursos, os hackers escolhem produtos Apple para atacar primeiro porque isso maximiza a publicidade em torno do feito. Só depois dão atenção a produtos outros com os quais ninguém se importa.
O detalhe é que as proezas desses hackers não falam tão alto quanto o fato de que NENHUM código malicioso autoreplicante jamais vitimou usuários do Mac OS X em 9 anos. Isso sim é segurança, o resto é nhenhenhém.
Os comentários dos próprios leitores detonaram o autor desse artigo. Os que achei melhores:
“so what’s your point? care to tell us something new? did you really think they started working on a hack the day the contest started?”
—–
“Sorry – but you’re still not pointing anything out. Your comparison of the time to run the exploit vs. the time to develop the exploit is meaningless. The iPhone took years to develop. Does that mean I need years to place a phone call?
We’re all at risk of instant data loss, especially with an item that can be easily lifted from our pockets or bags.”
—–
Cara, como é que ele sabe o que o usuário deve fazer em um site para que seja possível roubar os SMSs? Por um acaso os ‘white hats’ divulgaram o exploit?
Acho que não né? Afinal, faz parte da regra do concurso entregar o código apenas à fabricante.
E realmente não importa quanto tempo eles se prepararam, porque eles só precisam se preparar uma vez… mesmo que tivessem se preparado por 1 mês ou 2, após roubar os dados do milhonésimo iphone, o tempo médio será o mesmo.
Seu comentário foi perfeito.
E eu nunca entendo o porquê desta fixação em refutar a quantidade de segundos que leva um ataque, como se a PWN2OWN fosse uma olimpíada e os hackers busacssem o recorde mundial. O que importa é que os caras encontraram uma vulnerabilidade que pode ser explorada em um tempo bem pequeno; eles não invadiram o sistema quebrando a criptografia por força bruta, ou algo assim.
[]
Pensar que o tempo de execução de um script ou programa malicioso é importante, é coisa para noobs.
Mas é desse número que a mídia sensacionalista vive.
O comentário do leitor “matheus” foi rejeitado por violar os Termos de Uso do AppleMania.