Egy új támadási lehetőséget részleteztek a Symantec kutatói. A TrustJackingnak elnevezett módszerrel a „megbízhatónak” ítélt eszközről lehet hozzáférni az iPhone-on, iPaden tárolt adatokhoz. Az iOS egyik funkciója, az iTines wifis szinkronizálása teszi ezt lehetővé.

A funkció használatához engedélyt kell adni egy megbízhatónak tartott számítógépnek egy USB-kábelen keresztül az Apple-eszközhöz történő hozzáférésre. Ha az engedélyezés megtörtént, akkor viszont a számítógép tulajdonosa máris kémkedhet az iPhone (iPad) tartalma után a wifi-hálózaton keresztül, és ehhez semmiféle engedélyezésre nincs a továbbiakban szüksége, ráadásul a telefonnak (tabletnek) már nem is kell fizikai kapcsolatban lennie a géppel. Sokakat épp ezt téveszthet meg, úgy gondolhatják ugyanis – írja a The Hacker News –, hogy amennyiben nincsen fizikai kapcsolat, akkor a gép nem férhet hozzá az iPhone adataihoz.

Symantec

Mivel az áldozat eszközén nincs semmiféle jelzés az adatok utáni esetleges kutakodásra, a Symantec úgy véli, hogy ez a szolgáltatás kihasználja az iOS-es eszköz és a számítógép között fennálló bizalmi viszonyt (trust = bizalom). Ez komoly gond lehet például akkor, ha valaki egy nyilvános töltőre kapcsolódik egy repülőtéren, és megadja – helytelenül – az engedélyt (bízik a gépben). Ráadásul a távoli támadónak még csak nem is kell ugyanazon a wifi-hálózaton lennie, ha mondjuk a telefontulajdonos saját „megbízható” számítógépére korábban malware került.

Az iTunes wifi-szinkronizálás ilyesfajta kihasználásával a támadók akár olyan rosszindulatú appokat is telepíthetnek a telefonra, amelyek a megszólalásig hasonlítanak az eredetire, viszont kémkednek a felhasználók adatai után.

Symantec

A Symantec figyelmeztette az Apple-t a problémára, és született is egy új biztonsági réteg a funkcióhoz: a felhasználónak be kell írnia a telefon jelszavát a számítógéphez történő csatlakozás során. Azonban – vélik a biztonsági kutatók – ettől a kiskapu még nyitva marad, hiszen ha a felhasználó úgy dönt, hogy megbízik a gépben, akkor minden a korábban vázolt forgatókönyv szerint zajlik.

A szakemberek azt ajánlják, hogy a felhasználók figyeljenek a megbízható gépek listájára, sőt akár töröljék is az egészet (ezt a Beállítások/Általános/Visszaállítás/helyz.-és adatvédelmi adatok törlése útvonalon tehetik meg). Még fontosabb, hogy például idegen helyen történő telefontöltés esetén válasszák azt, hogy nem bíznak meg a kapcsolódó állomásban, ettől ugyanis még ugyanúgy töltődni fog a telefonjuk, viszont nem lehet majd hozzáférni az adatokhoz.