Una vulnerabilidad en el iPhone 3GS deja datos del usuario a la vista
El investigador de seguridad Bernd Marienfeldt ha descrito en un artículo en su web una vulnerabilidad encontrada en todos los iPhone 3GS, da igual la versión del iPhone OS que porten, que permite a un atacante poder acceder a tdos los datos del teléfono.
Marienfeldt trabaja con el experto en seguridad Jim Herbeck, y ha sido capaz de reproducir con todo éxito esta vulnerabilidad en hasta 3 teléfonos diferentes, no desbloqueados con diferentes, también, versiones de iPhone OS instaladas (incluida la última versión). Todos los teléfonos estaban protegidos con el sistema de bloqueo PIN de 4 cifras.
Cuando conectas un iPhone a un ordenador con Ubuntu 10.04 LTS, Apple Macintosh, Windows 2000 SP2 ó Windows 7 no es posible acceder a los datos internos del teléfono más allá de la carpeta DCIM, pero la forma especial en la que trata Ubuntu Lucid Lynx la conectividad con el teléfono permite acceder a el interior del mismo y ver prácticamente todos los datos del usuario, incluyendo música, fotos, vídeos, pocasts, grabaciones de voz, las bases de datos de navegación segura de Google y contenidos de los juegos. El acceso además tiene nivel de lectura/escritura al iPhone y el acceso no deja trazos del mismo.
Según el investigador, el acceso al teléfono permitiría el uso de un ataque de Buffer Overflow que en teoría permitiría a una atacante la capacidad de poder hacer llamadas telefónicas. En el actual estado de seguridad, el atacante tiene acceso a los datos, pero no a hacer llamadas telefónicas.
Apple ha sido notificada de esta vulnerabilidad, pero no ha hecho comentarios sobre su corrección o si está también disponible en la próxima versión de iPhone OS 4 que será hecha pública muy probablemente durante la celebración de la Conferencia de Desarrolladores de Apple.
PD: Será igualito que Microsoft cuando Microsoft tenga más de 200.000 aplicaciones disponibles para su terminal
A veces, el defender a capa y espada algo aún a sabiendas que está mal es lo que deja mala publicidad.
El fanboyismo es lo que tiene...
Seamos justos: Es un problema. Que lo solucionen.
"Cuando conectas un iPhone a un ordenador con Ubuntu 10.04 LTS, Apple Macintosh, Windows 2000 SP2 ó Windows 7 no es posible acceder a los datos internos del teléfono más allá de la carpeta DCIM, pero la forma especial en la que trata Ubuntu Lucid Lynx la conectividad con el teléfono permite acceder a el interior del mismo y ver prácticamente todos los datos del usuario"
No hay que ser taliban de un lado ni del otro.
Todas estas pruebas que se dedican a hacer son en supuestos muuuy específicos, y para nada ponen en peligro la integridad de los datos de los usuarios.
A mi todos estos "especialistas" que se pasan meses en los laboratórios intentando encontrar agujeros para publicarlos cuanto antes no me dan ninguna confianza.
Te pongo un símil para que lo entiendas:
"Te compras el super i-candado que te asegura que es seguro, que ni con apple-llaves, micro-llaves se abre. Pero resulta que cualquiera con una linu-llave se pasa por el forramen esa seguridad. En definitiva: Si quieres abrir cualquier i-candado solo tienes que llevar una llave linu-llave en tu llavero y asunto arreglado".
En definitiva: ¿Quieres ver y usar todos los datos de un iPhone? Simple: Usa VirtualBox con una Ubuntu y asunto resuelto. ¡Menuda seguridad si perdiese mi iPhone!