Знаю, что подниму волну очередных холиваров, но тем не менее расскажу о том, что в iPhone обнаружилась интересная уязвимость, которая позволяет прочитать и/или даже скопировать конфиденциальные данные, даже если они защищены паролем.
Многие люди настолько трепетно относятся к своим данным, что ставят код на вход в свой телефон. На самом деле я таких людей никогда не понимал – у меня всегда было убеждение что при физическом доступе возможно получить доступ к информации находящейся в любом (ну почти) носителе. Причем телефоны я вообще никогда не считал хорошо защищенными и сегодня в очередной раз я убедился в этом.
Немного о том, почему эта новость меня вдруг заинтересовала.
Компания Apple с самого начала продаж позиционировала iPhone как многофункциональный компьютер, который сможет быть помощником и другом в любом начинании – будь-то развлечения или бизнес.
Отдельно во всех презентациях от Apple, на всех сайтах, которые рассказывали об iPhone, да и вообще везде говорилось о том, что это устройство имеет инновационный поход к работе в интернет. В Купертино и правда об этом позаботились – на моей памяти это первое устройство с такими небольшими габаритами, на котором я могу вполне комфортно просматривать web-странички, комментировать (тот же любимый thinkit.ru), без неудобств работать с почтой.
Для тех людей, которым важно иметь мобильное рабочее место с подключением к корпоративной сети в iPhone обеспечили поддержку самых признанных стандартов корпоративной связи:
- Поддержка Microsoft Exchange ActiveSync – Если в вашей компании используется Microsoft Exchange Server
2003 или 2007, то благодаря ПО iPhone 2.0 вам доступна беспроводная
активная доставка почты, календаря и контактов на iPhone по протоколу
SSL с 128-разрядным шифрованием. С активной беспроводной доставкой
данные пользователя всегда актуальны, куда бы он ни отправился.
- Сетевые возможности для вашего предприятия – ПО iPhone 2.0 поддерживает Cisco IPSec VPN, поэтому вам
гарантирован самый высокий уровень шифрования IP для передачи ценной
информации. У сотрудников появится возможность двухфакторной
аутентификации по паролю или цифровому сертификату. iPhone также
поддерживает WPA2 Enterprise с аутентификацией по стандарту 802.1X —
стандарту защиты сетей Wi-Fi.
- MobileMe – Потеряли свой iPhone? MobileMe поможет его найти, благодаря функции
Найти мой iPhone. Вы сможете увидеть местоположение телефона на карте,
удалённо установить пароль и защитить личную информацию с помощью
функции Remote Wipe.
- ну и так далее...
Казалось бы – все гуд – можно не беспокоится о сохранности данных. Разработчики за нас уже все продумали и придумали наиболее оптимальные решения, которые только можно... Но тут подкралось одно жирное "НО"
Есть в телефонах такая функция – блокировка пин-кодом-паролем. Блокировка не сим-карты, а именно самого аппарата.
Пока не введешь пароль, теоретически доступ к данным (почта, музыка, фотографии, документы, голосовые записи) будет закрыт.
Но, как оказалось, чтобы вытащить эти данные достаточно просто подключить iPhone 3GS или iPhone 3G к компьютеру с
установленной на нем ОС Ubuntu :).
После того, как телефон примонтируется, пользователю будет доступен полный доступ ко всей файловой структуре коммуникатора несмотря на то, что коммуникатор запаролен. Кстати, как оказалось такой бонус доступен не только линуксоидам, но MAC-пользователям – с помощью программки
phonedisk.
Это по-моему очень неприятная проблема, тем более что такой "взлом" (если это можно так назвать) возможно провести не только с джелбрейкнутыми телефонами (у 90% которых и так есть дырка в виде стандартного пароля на SSH), но и с вполне официальными.
Все это в очередной раз доказывает мою теорию и, пожалуй, спасает от паранои "тотальной защиты" – все равно самое сокровенное можно хранить только у себя в голове! :)
Производство и поддержка сайтов