Notícias

Pwn2Own 2010: lista de SMS do iPhone hackeada em 20 segundos

Todos os anos acontece na CanSecWest, no Canadá, um concurso chamado Pwn2Own, onde vários hackers lutam para encontrar falhas de segurança em vários sistemas operacionais, de computadores a smartphones. Neste ano, dois deles conseguiram driblar a proteção do iPhone em apenas 20 segundos.

O aparelho usado na demonstração foi um 3GS original, sem jailbreak. Os hackers Ralf-Philipp Weinmann e Vincenzo Iozzo se utilizaram de uma falha no Safari Mobile para invadir o aparelho e extrair o banco de dados com mensagens de SMS. Com isso, ganharam o prêmio de 15 mil dólares.

O hack acontece com o acesso a uma simples página internet com código malicioso. Sem que o usuário se dê conta, é feito o envio da lista completa de SMS para um servidor. Potencialmente, o mesmo método poderia ser usado para o roubo da lista de contatos, de fotos e até de arquivos de músicas.

Segundo as regras do concurso, os hackers não podem divulgar publicamente o método e a empresa afetada (no caso, a Apple) é comunicada da falha para que esta seja reparada.

No ano passado, o especialista em segurança Charlie Miller (conhecido na Pwn2Own por haver hackeado um MacBook Air em 2008) demostrou uma falha no SMS de vários smartphones (inclusive o iPhone) que permitia o acesso a algumas poucas funções do aparelho. A Apple consertou a falha rapidamente logo após o anúncio público de Miller.

Devo me preocupar com o atual problema de segurança no iPhone?

Ninguém precisa se preocupar com a atual falha encontrada. Não é vírus e não é uma ameaça pública, pois não foi divulgado o método. Além disso, o único risco que ele apresenta é o roubo da lista de SMS, que apesar de poder conter informações pessoais importantes, não compromete o restante do aparelho.

O que pode acontecer é isso pressionar a Apple a lançar uma nova atualização do iPhone OS. Resta saber se seria o 3.1.4, o 3.2 ou já o 4.0…

via

Tags
Mostrar mais

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos Relacionados

  • Ronnie Dilli

    Sempre bom cuidar em que links entrar…

  • JanjaBoy

    Imagina se é um produto M$?

  • Falando em atualização, quando virá a atualização do firmware do Iphone?

    • Hum… Espere um momento, vou escrever um email pro Jobs, pra saber… 😛

      • When it’s Done.

        Sent from my iPad
        kkkkkkkkkkkkkkkkk

        -===============

        Fala sério, porque uma falha no SMS, podiam ter dado uma mãozinha pro GeoHot e o Dev-Team e descobrir como desbloquear a 3.1.3 com o novo iBoot e a nova BaseBand, sem o JailBreak parcial.

        Ai sim eu tiraria o chapéu.

        kkkkkkkk

        • Isso não daria tanto dinheiro. O premio de 15 mil obamas não é nada perto do valor que podem vender essa informação para o fabricante (ou para outros hackers, apesar do termo do regulamento).

  • Valber

    Que bom que essas coisas acontecem, assim aumentam a segurança de dispositivos e sistemas operacionais fazendo os mesmos se tornarem cada vez melhor.

  • Concordo que não há nada com que se preocupar, afinal, sabendo da falha a Apple não vai demorar para arrumar e até mesmo procurar por novas falhas de segurança.

  • Ilex, o evento é no canada certo, mas em qual cidade? Seria Toronto?
    Eles hackearam um iPhone pelo SMS certo, mas e o iPod touch como fica já q naum possui o app SMS?

    • Vancouver.

    • Não. Não foi invadido usando o app de SMS. A falha está no Safari. Se você usar o iPod Touch no WiFi e acessar uma página que explora essa vulnerabilidade, você também terá problemas. Mas como o hack não foi divulgado publicamente, em teoria não existem sites o explorando.

  • A atualizaçao da Apple vai ser lançar o Opera! kakaakakkaka

  • Pedro

    Uma falha dessas é muito mais sério do que a sua conclusão fez parecer iLex.
    A principal função de um gadget é armazenar informações. Se esse não consegue mante-las em segurança temos um sério problema nas mãos.

    Segredos de empresas, assuntos confidenciais do governo ou até mesmo fotos da sua namorada nua poderiam vazar na internet.

    • Claro que é sério.
      Mas ainda não é uma ameaça real a todos. Esse tipo de notícia tende a deixar em pânico muita gente, mesmo sem necessidade.
      O que você sugeriria que eu dissesse? Parem de usar iPhone porque é perigoso? Usem anti-vírus? Nada disso seria real, nem mais útil.

  • Algus Helm

    Pelo visto sem o tal código o hack não funfa. É só tomar cuidado nos links. Como toda navegação na net, independente de ser iPhone, PC, Linux, Apple e etc.

  • RAVAGNANI

    20 segundos?

    Piada de mau gosto, isso já estava testado e a falha eles já haviam descoberto, foram no evento só mostrar a falha e pegar a grana para eles.

    Em 20 segundos não da nem tempo de ligar o iPhone.

  • Joao

    Ei e se eu mudei a minha senha ( a senha inicial e alpine ) , sera que isso pode acontecer ?

    • A senha alpine é para SSH no Jailbreak. Não tem nada a ver com esse hack apresentando.

      • Lucas

        É cada um que aparece…

  • João Paulo

    Esse exploit é outro, não tem nada a ver com o do SSH. E vale a pena lembrar que dá pra tirar qualquer informacao do celular, nao somente SMS.

  • Marcelo

    Tem como recuperar sms apagado no iPhone??

  • Acho que o bom de tudo isso é fazer a Apple abrir os olhos para a questão da segurança. Até então ela afirmava que o iPhone OS era 100% seguro para os aparelhos sem o jailbreak.

  • Pois é, com o grande crescimento que teve os iPhones, eles estão se tornando praticamente um “Windows”, brevemente teremos que usar antivírus nos nossos iPhones e até iPods Touch :/

  • Jrbs

    Desculpe mas discordo iLex. No underground existem dezenas de 0day só esperando oportunidade para ganhar dispositivos. Quem rouba informação e trabalha com isso não está preocupado com 15 pilas na conta não.

    É de conhecimento de muita gente que trabalha com segurança da informação de códigos maliciosos que trabalham desapercebidos dos mecanismos de detecção. São códigos específicos que aparentemente ficam “adormecidos” por meses até encontrar seu alvo e atacar. Aí está a grana, entendeu!?

    Tem que preocupar sim!! Principalmente quem tem alguma confidencial em seu aparelho.

    Cuidado nunca é demais.

    • Ok, PESSOAL, NÃO USEM MAIS IPHONES! É PERIGOSO!

      Pronto. Melhor? 😛

  • Macabro

    é como disse…é cada um que aparece…..pronto ,se ta com medo fio,não usa o iPhone….tenho aqui o primeiro celular ainda..ta novinho na caixa e com o manual…kkkkkk

  • Jonei

    Se 2 conseguiram, alguem vai conseguir tb antes da correção! Só pra sacanear!
    Os crackers estão aí pra isso msm!!!
    Eu to de boa só uso o Safari mobile em sites confiáveis!