Перша уразливість в iPhone
22:41 19.07.2007Фахівці компанії SPI Dynamics попереджають про те, що окремі функції мобільного телефону Apple iPhone можуть являти загрозу безпеки власників апарата.
Уразливість, пов’язана із системою набору номера за допомогою спеціального автоматичного рішення, вбудованого в броузер Safari. За певних умов, зловмисник може перенаправляти виклик власника iPhone на інший телефонний номер, зробити дзвінок без дозволу користувача, заборонити можливість здійснення викликів, а також ініціювати нескінченний цикл набору номерів, вийти з який можна буде тільки шляхом перезавантаження апарата.
Організувати напад, як повідомляється на сайті SPI Dynamics, теоретично можна декількома шляхами. Зловмисники, зокрема, можуть спробувати заманити потенційну жертву на шкідливий веб-сайт. Крім того, провести напад можна і через легальний онлайновий ресурс, вразливий до XSS-атак (Cross-Site Scripting).
“Тому що ця схема може бути використана на будь-якому сайті, а її жертвою може стати будь-який власник iPhone, то дана уразливість класифікована як серйозна”, - говорить Білл Хофман, аналітик з SPI.
Компанія SPI Dynamics підкреслює, що інформація про проблему була спрямована в компанію Apple 6 липня. Власникам мобільника рекомендується не використовувати функцію набору номерів через браузер доти, доки розробники не внесуть зміни в програмну частину iPhone.
По матеріалам http://www.securitylab.ru.
P.S.
Про подібні атаки через XSS я писав в статті Використання уразливостей на локальних машинах. Лише я писав стосовно атак на локальні сервери (через браузер користувача), а в даному випадку через браузер атакується смартфон користувача.
