szerző:
hvg.hu

Biztonsági figyelmeztetést adtak ki a Symantec kutatói: az iOS egyik (amúgy hasznos) funkciója zöld utat adhat a hackereknek, akik ellophatják az iPhone-on, iPaden tárolt adatokat.

Egy új támadási lehetőséget részleteztek a Symantec kutatói. A TrustJackingnak elnevezett módszerrel a „megbízhatónak” ítélt eszközről lehet hozzáférni az iPhone-on, iPaden tárolt adatokhoz. Az iOS egyik funkciója, az iTines wifis szinkronizálása teszi ezt lehetővé.

A funkció használatához engedélyt kell adni egy megbízhatónak tartott számítógépnek egy USB-kábelen keresztül az Apple-eszközhöz történő hozzáférésre. Ha az engedélyezés megtörtént, akkor viszont a számítógép tulajdonosa máris kémkedhet az iPhone (iPad) tartalma után a wifi-hálózaton keresztül, és ehhez semmiféle engedélyezésre nincs a továbbiakban szüksége, ráadásul a telefonnak (tabletnek) már nem is kell fizikai kapcsolatban lennie a géppel. Sokakat épp ezt téveszthet meg, úgy gondolhatják ugyanis – írja a The Hacker News –, hogy amennyiben nincsen fizikai kapcsolat, akkor a gép nem férhet hozzá az iPhone adataihoz.

©

Mivel az áldozat eszközén nincs semmiféle jelzés az adatok utáni esetleges kutakodásra, a Symantec úgy véli, hogy ez a szolgáltatás kihasználja az iOS-es eszköz és a számítógép között fennálló bizalmi viszonyt (trust = bizalom). Ez komoly gond lehet például akkor, ha valaki egy nyilvános töltőre kapcsolódik egy repülőtéren, és megadja – helytelenül – az engedélyt (bízik a gépben). Ráadásul a távoli támadónak még csak nem is kell ugyanazon a wifi-hálózaton lennie, ha mondjuk a telefontulajdonos saját „megbízható” számítógépére korábban malware került.

Az iTunes wifi-szinkronizálás ilyesfajta kihasználásával a támadók akár olyan rosszindulatú appokat is telepíthetnek a telefonra, amelyek a megszólalásig hasonlítanak az eredetire, viszont kémkednek a felhasználók adatai után.

©

A Symantec figyelmeztette az Apple-t a problémára, és született is egy új biztonsági réteg a funkcióhoz: a felhasználónak be kell írnia a telefon jelszavát a számítógéphez történő csatlakozás során. Azonban – vélik a biztonsági kutatók – ettől a kiskapu még nyitva marad, hiszen ha a felhasználó úgy dönt, hogy megbízik a gépben, akkor minden a korábban vázolt forgatókönyv szerint zajlik.

A szakemberek azt ajánlják, hogy a felhasználók figyeljenek a megbízható gépek listájára, sőt akár töröljék is az egészet (ezt a Beállítások/Általános/Visszaállítás/helyz.-és adatvédelmi adatok törlése útvonalon tehetik meg). Még fontosabb, hogy például idegen helyen történő telefontöltés esetén válasszák azt, hogy nem bíznak meg a kapcsolódó állomásban, ettől ugyanis még ugyanúgy töltődni fog a telefonjuk, viszont nem lehet majd hozzáférni az adatokhoz.

Állj mellénk!

Tegyünk közösen azért, hogy a propaganda mellett továbbra is megjelenjenek a tények!

Ha neked is fontos a minőségi újságírás, kérjük, hogy támogasd a munkánkat.

Állj mellénk!

Tegyünk közösen azért, hogy a propaganda mellett továbbra is megjelenjenek a tények!

Ha neked is fontos a minőségi újságírás, kérjük, hogy támogasd a munkánkat.
75-tel repesztő elektromos rollerekről beszélt egy jogi szakértő a közmédiában

75-tel repesztő elektromos rollerekről beszélt egy jogi szakértő a közmédiában

Újabb pofon Káslernek - elvesztheti az egészségügyi szakképzés területét

Újabb pofon Káslernek - elvesztheti az egészségügyi szakképzés területét

Jöhetnek az okosfegyverek az amerikai hadseregben

Jöhetnek az okosfegyverek az amerikai hadseregben

Tanácsokat adna dizájnbetonnal világhírűvé vált házaspár

Tanácsokat adna dizájnbetonnal világhírűvé vált házaspár

A hónap végéig van idő a banki adategyeztetésre

A hónap végéig van idő a banki adategyeztetésre

Létrejött a Nemzeti Amnézia Intézet

Létrejött a Nemzeti Amnézia Intézet