iPhone SMS attaque qu'à être libéré à la Black Hat
Le bug a été découvert par le célèbre iPhone hacker Charlie Miller, qui, le premier, a parlé de la question à la SyScan conférence à Singapour. À l'époque, il a dit qu'il avait découvert un moyen de faire planter l'iPhone par SMS, et qu'il pensait que l'accident pourrait finalement conduire à de travail code d'attaque.
Depuis, il travaille dur, et il dit maintenant qu'il est en mesure de prendre en charge l'iPhone avec une série de malveillant de messages SMS. Dans une interview mardi, Miller a dit qu'il va montrer comment cela peut être fait lors d'une présentation à la conférence sur la sécurité Black Hat à Las Vegas ce jeudi avec le chercheur en sécurité Collin Mulliner.
"Le SMS est un incroyable vecteur d'attaque pour les téléphones mobiles", a déclaré MIller, un analyste Indépendant en matière de Sécurité des Évaluateurs. "J'ai besoin de votre numéro de téléphone. Je n'ai pas besoin de cliquer sur un lien ou quoi que ce soit."
Miller signalé la faille à Apple au sujet de il ya six semaines, mais l'iPhone maker a pas encore publié un correctif pour le problème. Des représentants d'Apple pourrait ne pas être atteint pour le commentaire, mais la société typiquement garde le silence sur les failles des logiciels jusqu'à la publication d'un patch.
Si elle n'a communiqué une pré-Chapeau Noir patch, Apple ne sera pas le seul. Microsoft a eu à se démener pour sortir un correctif d'urgence pour un problème dans sa ATL (Active Template Library), utilisé pour créer des contrôles ActiveX. Ce "hors cycle" patch a été publié mardi, devant un autre Chapeau Noir présentation sur cette vulnérabilité particulière.
Miller attaque ne fait pas de pop up shellcode -- le logiciel de base, les pirates utilisent comme un tremplin pour lancer leurs propres programmes sur un piraté la machine -- mais il lui permet de contrôler les instructions qui sont dans le téléphone du processeur. Avec un peu plus de travail, quelqu'un pourrait prendre cet exploit et exécuter shellcode, Miller a dit.
Même si c'est un vieux de la technologie, de SMS est en passe de devenir une zone prometteuse de recherche sur la sécurité, comme la sécurité, des chercheurs utilisent la puissance de calcul des capacités de l'iPhone et Android de Google afin de prendre un coup d'oeil à la façon dont il fonctionne sur les réseaux mobiles.
Jeudi, deux autres chercheurs, Zane Laquais et Luis Miras, sera de montrer comment ils peuvent usurper les messages SMS qui ne serait normalement envoyés par les serveurs sur le transporteur. Ce type d'attaque peut être utilisé pour changer quelqu'un d'paramètres du téléphone, simplement en leur envoyant un message SMS.
Miller estime que plus de SMS de bus sont susceptibles d'émerger, et pour aider à les trouver, lui et Mulliner ont développé un SMS "fuzzing" de l'outil, qui peut être utilisé pour marteau d'un appareil mobile avec des milliers de messages de SMS sans réellement l'envoi de messages sur le réseau sans fil (une entreprise coûteuse).
L'outil, ce qu'il appelle l'Injecteur, en s'exécute sur l'iPhone OS, Android et Windows Mobile téléphones mobiles.
L'outil encarts de lui-même entre le téléphone du processeur de l'ordinateur et le modem et le fait ressembler les messages SMS sont vraiment à venir à travers le modem, quand en réalité ils sont générés par le téléphone.
Auteur: Keylogger.Org L'Équipe