Обнаружена возможность запуска произвольного кода на iPhone

Чарльз Миллер, эксперт в области информационной безопасности и главный аналитик в Independent Security Evaluators, и студент Миланского университета Винченцо Иоццо нашли способ запустить неподписанный код на неразлоченном смартфоне iPhone. 

 

Миллеру и Иоццо удалось создать код, позволяющий делать с аппаратом практически все, вплоть до копирования личных данных. По словам Чарльза Миллера, iPhone имеет многоуровневую защиту, однако есть способ обойти ее и интерпретировать данные как код. После этого можно изменить работу процессора и заставить его загрузить и выполнить неподписанную библиотеку.

При успешной реализации подобной атаки процессор загружает библиотеку, которая создает полноценную программную оболочку. Через нее злоумышленник может получить доступ к любому файлу в системе или загрузить удаленно дополнительный код.

Впрочем, заявления об удаленном взломе iPhone пока преждевременны. К тому же выход новой программной платформы iPhone OS 3.0 состоялся лишь сегодня, а информации о том, сработает ли описанная тактика на новой «прошивке», пока нет. Таким образом, в настоящий момент теоретически уязвимы лишь телефоны под управлением iPhone OS 2.0.

Миллер и Иоццо намерены продемонстрировать атаку на хакерской конференции Black Hat, которая пройдет в Лас-Вегасе в следующем месяце. 

 

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Владельцы Android-устройств увидят, как приложения используют их данные

В официальном магазине Android-приложений Google Play Store появятся дополнительные требования к разработчикам. Следуя опыту Apple, Google обяжет девелоперов предоставлять информацию об использовании пользовательских данных.

Как объяснила в блоге Сюзанна Фрей, занимающаяся вопросами безопасности и конфиденциальности системы Android, нововведения помогут пользователям понять, какими данными делится то или иное приложение.

«Новые правила могут стать действительно серьёзным шагом, поэтому мы заранее уведомляем всех разработчиков о готовящихся переменах. Пользователи мобильных устройств на Android смогут узнать, насколько хорошо защищены их данные, при этом у них будет более полное понимание уровня безопасности и конфиденциальности», — пишет Фрей.

Все необходимые требования Google планирует предоставить разработчикам этим летом. Со второго квартала 2022 года авторы Android-приложений должны будут включать информацию об использовании данных владельцев смартфонов. Подробнее шаги представлены на инфографике ниже:

 

Таким образом, разработчики (включая саму Google) должны будут подробно описывать, как обрабатывается следующая информация: геолокация пользователей, их контакты, персональные данные и т. п.

«Если мы обнаружим, что тот или иной разработчик искажает предоставляемую информацию и тем самым нарушает политику официального магазина приложений, мы потребуем срочно устранить это», — дополняет Фрей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru