À medida que os sistemas operativos móveis vão ‘crescendo’ em termos de funcionalidades, vão aparecendo vulnerabilidades resultantes da exploração de módulos que são colocados a funcionar em circunstâncias para as quais não foram desenhados.
Até hoje a Apple tinha ‘escapado’ quase incólume a problemas graves que, num momento ou outro, acabam por afectar todas as plataformas.
Um ex-analista da NSA (Agencia de Segurança Nacional dos EUA) afirma ter descoberto uma froma de ‘injectar’ código malicioso nos iPhones e iPads usando uma aplicação aparentemente legal e aprovada pela própria Apple.
Segundo Charlie Miller, que tenciona apresentar esta abordagem durante a conferência SysCan que se realiza em Taiwan, é possível aproveitar esta vulnerabilidade e explorar aplicações aparentemente legítimas que não são ‘apanhadas’ no filtro que da Apple.
Com método descoberto por Miller é possível descarregar código malicioso a partir de fontes externas (Internet) ou internas (imagens, vídeos, etc) e executá-lo dentro de uma aplicação normal. O facto do código malicioso não se encontrar dentro da aplicação impede que o mesmo seja detectado e permite, ao mesmo tempo, que o autor da aplicação o vá alterando ao longo do tempo (nos casos em que é descarregado a partir de uma fonte externa). O código descarregado pode ser usado para realizar acções básicas como fazer vibrar o terminal ou reproduzir um som, ou para algo menos aconselhável (roubo de informação).
Miller já pôs o seu método em prática através da publicação de uma aplicação na App Store chamada Instastock que permite a execução de código externo e potencialmente malicioso. Até ao momento a única resposta da Apple foi a eliminação da aplicação da App Store e a revogação da licença de utilizador de Charlie Miller de forma a evitar que este possa publicar mais aplicações com objectivos similares.
Até hoje a Apple tinha ‘escapado’ quase incólume a problemas graves que, num momento ou outro, acabam por afectar todas as plataformas.
Um ex-analista da NSA (Agencia de Segurança Nacional dos EUA) afirma ter descoberto uma froma de ‘injectar’ código malicioso nos iPhones e iPads usando uma aplicação aparentemente legal e aprovada pela própria Apple.
Segundo Charlie Miller, que tenciona apresentar esta abordagem durante a conferência SysCan que se realiza em Taiwan, é possível aproveitar esta vulnerabilidade e explorar aplicações aparentemente legítimas que não são ‘apanhadas’ no filtro que da Apple.
Com método descoberto por Miller é possível descarregar código malicioso a partir de fontes externas (Internet) ou internas (imagens, vídeos, etc) e executá-lo dentro de uma aplicação normal. O facto do código malicioso não se encontrar dentro da aplicação impede que o mesmo seja detectado e permite, ao mesmo tempo, que o autor da aplicação o vá alterando ao longo do tempo (nos casos em que é descarregado a partir de uma fonte externa). O código descarregado pode ser usado para realizar acções básicas como fazer vibrar o terminal ou reproduzir um som, ou para algo menos aconselhável (roubo de informação).
Miller já pôs o seu método em prática através da publicação de uma aplicação na App Store chamada Instastock que permite a execução de código externo e potencialmente malicioso. Até ao momento a única resposta da Apple foi a eliminação da aplicação da App Store e a revogação da licença de utilizador de Charlie Miller de forma a evitar que este possa publicar mais aplicações com objectivos similares.
Esta notícia já foi consultada 12580 vezes
