21:45
3/8/2010

Wczoraj opisaliśmy stronę, która wykorzystując dziurę w oprogramowaniu iPhone’ów (a także iPodów i iPadów) wykonuje tzw. jailbreak telefonu. Nic nie stoi na przeszkodzie, aby ten sam błąd wykorzystać do wykradnięcia danych z iPhone’ów. Poniżej pokazujemy jak zabezpieczyć się przed exploitami PDF.

Na czym polega dziura?

iOS, czyli system operacyjny pod kontrolą którego pracują urządzenia od Apple (iPhone, iPad, iPod) jest podatny na atak (od wersji 3.1.2), ponieważ automatycznie otwiera pliki PDF przy pomocy wbudowanyego w Safari dziurawego dekodera PDF-ów.

Innymi słowy, podstawiając użytkownikowi iPhone’a stronę z odpowiednio spreparowanym PDF-em można zdalnie wykonać dowolny kod na jego telefonie. Zaprezentowana przez nas wczoraj strona jailbreakme.com wykorzystała PDF-y do jailbreaku (czyli zdjęcia ograniczeń nałożonych na iPhone’a przez Apple).

Ludzie już jailbreakują za ich pomocą wystawowe iPhone’y w sklepach Apple ;-)

…a F-Secure już wykrywa te PDF-y jako exoploit W32/Pidief.

Ochrona iPhone’a przed exploitami PDF

Użytkownicy, którzy są po jailbreaku powinni znaleźć w Cydii paczkę o nazwie “PDF Loading Warner” i po jej zainstalowaniu zrestartować telefon. Dzięki “PDF Loading Warner” każda próba otworzenia PDF-a zakończy się takim pytaniem:

A co z posiadaczami niezjailbreakowanych (trudne słowo) gadżetów od Apple? Im radzimy wstrzymać się z surfowaniem po sieci za pomocą Safari do czasu wypuszczenia oficjalnego patcha.

Przeczytaj także:

10 komentarzy

Dodaj komentarz
  1. Ten dodatek wymaga pewnie MobileSubstrate, prawda? Jeśli tak to fuj, nie instaluję go ;)

    • q2: nie mam pojęcia o czym do mnie rozmawiasz, ale jak już się dowiesz, czy korzysta, czy nie, to daj znać ;) BTW, co takiego złego jest w MobileSubstrate (albo co dobrego?)

  2. @q2 Nie wymaga żadnego MobileSubstrate. Skąd Ci to przyszło do głowy???

  3. Nie wiem co wy wszyscy chcecie od tego MobileSubstrate, ja tam mam od zawsze i wszystko jest OK, SB się nie sypie, a czym był by iOS bez sbsettings? ;)

  4. @PK http://cydia.saurik.com/info/mobilesubstrate/
    Jest fuj dla tego że pożera RAM i iPhone czasem się dziwnie zachowuje (nie wiem czy to akurat wina MS)

  5. @WinFixxr – może dlatego, iż to integruje w Safari?
    @PK – MobileSubstrate to bardzo fajny dodatek, który umożliwia integrację w programy (coś jak wstrzykiwanie a’la dllek do exe), jednakże na iP3G MS trochę spowalnia urządzenie i skraca żywotność baterii.
    @ppw – to raczej wina dodatków załadowanych do MS.

    I niestety, ten dodatek wymaga właśnie MobileSubstrate.

  6. Przesadzacie i co z tego, że mam wolne 160, a nie 170mb ramu?
    Mi tam wszystko jedno, chciał może na 3G robi się mniej kolorowo.

  7. MobileSubstrate to narzędzie, które tak, jak wspomniał @q2, pozwala na “integrację w programy”, a tak precyzując, na wstrzykiwanie kodu do procesu. Dzięki niemu działa ultrasn0w, w związku z czym ja bez niego żyć nie mogę, ale btw, nigdy nie zauważyłem, żeby w jakikolwiek sposób obciążał urządzenie czy źródło zasilania.

  8. ktoś mi wczoraj napisał, że jest update MS, który teraz już działa zdecydowanie lepiej

  9. […] nie ma ostatnio dobrych dni… Najpierw śmieszny bug z anteną w iPhone 4, kilka dni temu exploit na iOS czyli wszystkie gadżety od iPhone’a przez iPoda do iPada, a teraz możliwość wyłożenia […]

Odpowiadasz na komentarz WinFixxr

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: