VoIP and Hacking | Consulenza Documentazione

Una ricerca condotta il 17/5 dal ricercatore Ben Marienfeldt, su un iPhone 3GS completamente aggiornato e con software originale, ha evidenziato la presenza di una grave data protection vulnerability, tanto che basta collegare un iPhone (via USB) a un computer dotato dell’ultima versione di Ubuntu per leggere e modificare buona parte dei dati.
Ciò significa che la vulnerabilità bypassa l’autenticazione dei PIN a 4 cifre per quanto riguarda vari tipi di dati che gli utenti si aspettano siano invece adeguatamente protetti.
Per inciso anche le versioni precedenti del melafonino hanno evidenzato la stessa vulnerabilità
La falla è stata riscontrata a carico di esemplari non “jailbroken”, ovvero nei quali il firmware dell’ iPhone sia stato sostituito con una versione leggermente modificata e che non forzi il controllo della “cryptographic signature”, la quale obbliga il sistema operativo dell’iPhone, così progettato, ad eseguire solamente software che ne sia provvisto.

Il modo in cui Ubuntu Lucid Lynx gestisce l’ iPhone 3GS [6,7,8] permette di accedere ad una maggior quantità di contenuti, e inoltre, l’accesso ai files così ottenuto avviene sia in lettura che scrittura!
Questa carenza nella protezione dei dati espone musica, foto, video, podcast, registrazioni audio, Google safe browsing database, games, senza che un eventuale attaccante lasci alcuna traccia de suo passaggio.

Alcuni recenti aggiornamenti sulla questione:

31/05/2010:
heise Security (per coloro che comprendono il tedesco http://www.heise.de/security/meldung/iPhone-Leck-weitet-sich-aus-1012473.html) è riuscita ad ottenere un backup completo dell’ iPhone connettendo il device a iTunes sotto Windows.
Hanno così potuto leggere note, SMS-messages ed anche passwords in plaintext.

01/06/2010:

H Security, spiega in inglese quanto scoperto da Heise Security.

Send post as PDF to