(Tillbaka från en resa till ett Internetlöst Europa…)
Enligt en artikel i NY Times ser det ut som att den första fungerande attacken mot iPhone har presenterats. De som utvecklat attacken har även lagt upp en egen webbplats med mer information.
Att döma av informationen på den webbplatsen är problemet att applikationer i telefonen, inklusive webbläsaren körs med administratörsrättigheter. Detta gör det möjligt att skriva elak kod som körs på telefonen då en användare surfar till en given webbplats. På webbplatsen ovan finns även ett dokument med information om säkerhetsmodellen i iPhone, ett dokument väl värt att läsa. Författarna skriver:
The security architecture of the iPhone can best be described as one of reducing the attack surface. This is accomplished by limiting the number of applications on the device and limiting the functionality of the existing applications. The device does not even contain common binaries such as bash, ssh, or even ls.Unfortunately, once an iPhone application is breached by an attacker, very little prevents an attacker from obtaining complete control of the system. All the processes which handle network data run with the effective user id of 0, i.e. the superuser. This means that a compromise of any application gives the ability to run code in the context of that application which has the highest possible privilege level.
Hoppsan, undrar varför Apple såg det nödvändigt att göra på detta sätt…
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
