Luki w iPhone i iPadzie wykorzystane przez JailbreakMe 3.0 mogą też służyć cyberprzestępcom

Programiści zaangażowani w projekt "łamania" urządzeń z systemem iOS Apple'a poinformowali, że dzięki dwóm poważnym lukom w zabezpieczeniu oprogramowania iPhone'a i iPada udało im się wykonać "jailbreak" tych urządzeń (tzn. usunąć z nich narzucone przez Apple zabezpieczenia i ograniczenia).

Nowy jailbreak jest pierwszym, który działa również na najnowszej wersji tabletu Apple'a - iPadzie 2. Po jego zainstalowaniu urządzenia z iOS zostaje pozbawione większości wprowadzonych przez producenta zabezpieczeń, pojawia się za to możliwość korzystanie z aplikacji, które nie zostały zaakceptowane przez Apple (są one dostępne w serwisie Cydia).

Jako, że do obejścia zabezpieczeń wykorzystane zostały błędy w oprogramowaniu Apple, niektórzy eksperci ds. bezpieczeństwa obawiają się, że owe luki mogą zostać teraz użyte przez cyberprzestępców do atakowania użytkowników iPhone'a i iPada. "Jeśli autorzy złośliwego oprogramowania odpowiednio skopiują rozwiązanie opracowane przez twórców jailbreaka, będą mogli np. stworzyć stronę WWW, która po wyświetleniu w urządzeniu z iOS zainstaluje w systemie szkodliwy kod" - ostrzega Graham Cluley, konsultant ds. zabezpieczeń z brytyjskiej firmy Sophos. "Teraz piłeczka jest po stronie Apple - zobaczymy, jak szybko firma będzie w stanie zabezpieczyć urządzenia swoich klientów. Zostawienie w systemie takich luk to po prostu zapraszanie cyberprzestępców do włamań" - dodał Cluley.

Zobacz również:

  • Steve Jobs uhonorowany wysokim odznaczeniem
  • Menadżer haseł - jaki program warto wybrać i na co zwrócić uwagę

Aby złamać ("jailbrekować") dowolne urządzenie z iOS, wystarczy odwiedzić witrynę JailbreakMe za pomocą iPhone'a, iPada lub iPoda Touch i zainstalować narzędzie o nazwie JailbreakMe 3.0. Jego autorzy - zespół programistów koordynowany przez osobę podpisującą się jako "comex" - niepierwszy raz złamali zabezpieczenia Apple'a - po premierze iOS 4.0 mieli gotowego jaibreaka zaledwie w kilkanaście dni. Wtedy też działanie narzędzia opierało się na lukach w systemie iOS (Apple załatał je krótko po pojawieniu się JailbreakMe 2.0).

Wykorzystane w najnowszej wersji JailbreakMe błędy są poważne - Charlie Miller (znany specjalista od włamywania się do oprogramowania Apple) podkreśla, że przynajmniej jeden z nich pozwala włamywaczowi na zdalne, nieautoryzowane uruchomienie kodu na zaatakowanym urządzeniu. "Luki są poważne i tylko kwestią czasu jest wykorzystanie ich do atakowania użytkowników. Liczę jednak na to, że Apple załata je najpóźniej za kilka tygodni" - mówi Miller.

Co ciekawe, użytkownicy, którzy zdecydują się na złamanie zabezpieczeń w swoich urządzeniach z iOS, znajdą się w lepszej sytuacji niż lojalni klienci Apple - ekipa odpowiedzialna za stworzenie jailbreaka przygotowała bowiem... poprawki na luki znalezione w oprogramowaniu Apple. Problem w tym, że można ja zainstalować wyłączenie w urządzeniach, w których dokonano jailbreaku.

Dodajmy, że owa luka - związana z obsługą plików PDF - jest również obecna w najnowszym, dostępnej obecnie w wersji testowe, wydaniu iOS 5. Wydaje się jednak prawie pewne, że Apple usunie ją przed premierą finalnej "piątki".

Aktualizacja: 07 lipca 2011 22:40

Zgodnie z ostrzeżeniem niemieckiej agencji BSI (Bundesamt fuer Sicherheit in der Informationstechnik), zajmującej się bezpieczeństwem informacji, na spreparowane pliki PDF wykorzystujące ekslpoity odkryte przez twórców jailbreake'a już można się natknąć w sieci.

Apple obiecało jak najszybciej usunąć luki bezpieczeństwa (w zeszłym roku załatanie dziur odkytych przy Jailbreak 2.0 zajęło firmie kilka dni).

Jeszcze raz zaznaczmy, że jak na ironię losu urządzenia, na których uruchomiono JailbreakMe 3.0 są odporne na te ekspoity.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200