iPhone SMS attacco scatenato alla Black Hat
Apple ha da poco più di un giorno di patch per un bug del software per iPhone, che permette di hacker prendere l'iPhone, solo con l'invio di SMS (Short Message Service) messaggio.
Il bug è stato scoperto da notare iPhone hacker Charlie Miller, che per primo ha parlato di un problema al SyScan conferenza a Singapore. Al momento, ha detto che aveva scoperto un modo per mandare in crash l'iPhone tramite SMS, e che pensava che l'incidente potrebbe in ultima analisi portare all'utilizzo di codice di attacco.
Da allora, ha lavorato duro, e lui ora dice di essere in grado di prendere l'iPhone con una serie di dannoso messaggi SMS. In un'intervista martedì, Miller ha detto che mostrerà come questo può essere fatto durante una presentazione al Black Hat security conference di Las Vegas, questo giovedì con il ricercatore di sicurezza Collin Mulliner.
"SMS è un incredibile vettore di attacco per la telefonia mobile," ha detto MIller, analista di Sicurezza Indipendente di Valutatori. "Ho bisogno di tutti è il tuo numero di telefono. Non ho bisogno di fare clic su un link o altro".
Miller ha segnalato il difetto di Apple circa sei settimane fa, ma l'iPhone maker ha ancora rilasciato una patch per il problema. Rappresentanti Apple non potrebbe essere raggiunto per un commento, ma la società in genere mantiene il silenzio su difetti software fino a quando si rilascia una patch.
Se si fa rilasciare una pre-Nero Cappello di patch, Apple non sarà solo. Microsoft ha dovuto faticare per mettere fuori una correzione di emergenza per un problema nel suo ATL (Active Template Library), utilizzato per creare controlli ActiveX. Questo "out-of-cycle" patch è stato pubblicato martedì, davanti ad un'altra Cappello Nero presentazione in quel particolare vulnerabilità.
Miller attacco, che in realtà non pop-up shellcode -- il software di base, gli aggressori utilizzano come un trampolino di lancio per lanciare i loro programmi su un computer compromessi -- ma che gli permette di controllare le istruzioni che si trovano all'interno del telefono cellulare del processore. Con un po ' di lavoro, qualcuno potrebbe prendere questo exploit ed eseguire shellcode, ha detto Miller.
Anche se è una tecnologia vecchia, SMS sta emergendo una promettente area di ricerca in materia di sicurezza, come i ricercatori di sicurezza utilizzare la potente funzionalità di elaborazione di iPhone e Android di Google per prendere uno sguardo più da vicino il modo in cui funziona su reti mobili.
Giovedì, altri due ricercatori, Zane Lacchè e Luis Miras, mostrerà come si può falsificare i messaggi SMS che sarebbe normalmente essere inviato solo da server vettore. Questo tipo di attacco può essere utilizzato per modificare la impostazioni del telefono, semplicemente inviando un messaggio SMS.
Miller ritiene che più SMS autobus sono suscettibili di emergere, e per aiutare a trovare loro, lui e Mulliner hanno sviluppato un SMS "fuzzing", strumento che può essere utilizzato per il martello di un dispositivo mobile con migliaia di messaggi SMS senza inviare i messaggi tramite la rete wireless (un costoso).
Lo strumento, che egli chiama l'Iniettore funziona su iPhone OS, Android e Windows Mobile telefoni cellulari.
Lo strumento margini tra il telefono del processore del computer e il modem e lo fa apparire come i messaggi SMS sono davvero venire attraverso il modem, quando in realtà sono generati dal telefono.
Data di pubblicazione: Il bug è stato scoperto da notare iPhone hacker Charlie Miller, che per primo ha parlato di un problema al SyScan conferenza a Singapore. Al momento, ha detto che aveva scoperto un modo per mandare in crash l'iPhone tramite SMS, e che pensava che l'incidente potrebbe in ultima analisi portare all'utilizzo di codice di attacco.
Da allora, ha lavorato duro, e lui ora dice di essere in grado di prendere l'iPhone con una serie di dannoso messaggi SMS. In un'intervista martedì, Miller ha detto che mostrerà come questo può essere fatto durante una presentazione al Black Hat security conference di Las Vegas, questo giovedì con il ricercatore di sicurezza Collin Mulliner.
"SMS è un incredibile vettore di attacco per la telefonia mobile," ha detto MIller, analista di Sicurezza Indipendente di Valutatori. "Ho bisogno di tutti è il tuo numero di telefono. Non ho bisogno di fare clic su un link o altro".
Miller ha segnalato il difetto di Apple circa sei settimane fa, ma l'iPhone maker ha ancora rilasciato una patch per il problema. Rappresentanti Apple non potrebbe essere raggiunto per un commento, ma la società in genere mantiene il silenzio su difetti software fino a quando si rilascia una patch.
Se si fa rilasciare una pre-Nero Cappello di patch, Apple non sarà solo. Microsoft ha dovuto faticare per mettere fuori una correzione di emergenza per un problema nel suo ATL (Active Template Library), utilizzato per creare controlli ActiveX. Questo "out-of-cycle" patch è stato pubblicato martedì, davanti ad un'altra Cappello Nero presentazione in quel particolare vulnerabilità.
Miller attacco, che in realtà non pop-up shellcode -- il software di base, gli aggressori utilizzano come un trampolino di lancio per lanciare i loro programmi su un computer compromessi -- ma che gli permette di controllare le istruzioni che si trovano all'interno del telefono cellulare del processore. Con un po ' di lavoro, qualcuno potrebbe prendere questo exploit ed eseguire shellcode, ha detto Miller.
Anche se è una tecnologia vecchia, SMS sta emergendo una promettente area di ricerca in materia di sicurezza, come i ricercatori di sicurezza utilizzare la potente funzionalità di elaborazione di iPhone e Android di Google per prendere uno sguardo più da vicino il modo in cui funziona su reti mobili.
Giovedì, altri due ricercatori, Zane Lacchè e Luis Miras, mostrerà come si può falsificare i messaggi SMS che sarebbe normalmente essere inviato solo da server vettore. Questo tipo di attacco può essere utilizzato per modificare la impostazioni del telefono, semplicemente inviando un messaggio SMS.
Miller ritiene che più SMS autobus sono suscettibili di emergere, e per aiutare a trovare loro, lui e Mulliner hanno sviluppato un SMS "fuzzing", strumento che può essere utilizzato per il martello di un dispositivo mobile con migliaia di messaggi SMS senza inviare i messaggi tramite la rete wireless (un costoso).
Lo strumento, che egli chiama l'Iniettore funziona su iPhone OS, Android e Windows Mobile telefoni cellulari.
Lo strumento margini tra il telefono del processore del computer e il modem e lo fa apparire come i messaggi SMS sono davvero venire attraverso il modem, quando in realtà sono generati dal telefono.
Autore: Keylogger.Org Team
