Nieudokumentowane niebezpieczne funkcje w iOS

| Bezpieczenstwo IT
Apple

W systemie iOS w iPhone'ach znajdują się nieudokumentowane funkcje, które pozwalają na zdalne połączenie się z telefonem i pobranie z niego obrazków, wiadomości tekstowych i innych danych. Do ich zdobycia nie jest potrzebna znajomość PIN-u czy hasła. Jonathan Zdziarski, który podczas konferencji Hope X poinformował o odkryciu tych funkcji podkreślił, że nie wie, czy Apple uruchomiło ten mechanizm po to, by mogła korzystać zeń NSA czy organa ścigania. Zauważył, że wiele z usług w iOS-ie służy wyłącznie udostępnieniu danych na zewnątrz.

Eksperta najbardziej martwi usługa com.apple.mobile.file_relay, która bez pytania o hasło daje dostęp do olbrzymiej ilości danych – e-maila, Twittera, iCloud, do pełnej książki adresowej, w tym usuniętych pozycji, logów GPS-a, folderu z plikami tymczasowymi czy albumu z fotografiami. Ta usługa wraz z com.apple.pcapd i com.apple.mobile.house_arrest może być używana w uczciwych celach przez developerów czy wsparcie techniczne, jednak mogą one zostać również wykorzystane przez kogoś, kto chce szpiegować użytkownika. Na przykład usługa Pcapd pozwala na zdalne monitorowanie całego ruchu wychodzącego i przychodzącego. Działa ona nawet wówczas, gdy telefon nie jest uruchomiony w trybie dla developerów czy obsługi technicznej. Z kolei House_arrest pozwala na kopiowanie plików i dokumentów z Twittera, Facebooka i innch aplikacji.

Apple powinno wyjaśnić, w jaki sposób działają te usługi. Mi nie przychodzi na myśl żadnainna nazwa niż 'tylne drzwi', ale chciałbym usłyszeć, jak istnienie tych usług wyjaśnia Apple. Na telefonie działa wiele niezabezpieczonych usług, które udostępniają dane, które nigdy nie powinny być udostępniane - mówi Zdziarski.

Ekspert uspokaja jednocześnie, że wykorzystanie wspomnianych usług nie jest łatwe, jest więc mało prawdopodobne, by dochodziło do podsłuchów na masową skalę. Jednak ktoś z odpowiednią wiedzą z łatwością może połączyć się z wybranym iPodem czy iPhone'em, by szpiegować użytkownika. Ponadto w urządzeniach z iOS-em 7 podłączenie się jest możliwe dopiero po tym, jak użytkownik zatwierdzi połączenie naciśnięciem klawisza. Z drugiej jednak strony, połączenie się z danym urządzeniem jest możliwe, jeśli mamy dostęp do komputera, z którym to urządzenie kiedykolwiek się łączyło.

iOS funkcja włamanie kradzież danych iPhone