Уязвимость в обработке iOS PDF-файлов использовалась для того, чтобы
позволить их владельцам перепрошить железо, но специалисты по защите
предупреждают, что эта брешь может быть также использована для хакерских атак.
Сайт JailbreakMe выпустил код,
который позволяет пользователям получить контроль над своими iOS-устройствами
без необходимости использования компьютера, а путем простого посещения сайта.
Сайт был создан Comex,
членом команды iPhone Dev, которая взломала iPad меньше чем за день.
Программное обеспечение разработано для того, чтобы пользователи Apple могли
устанавливать приложения, которые запрещены к установке администраторами iTunes.
Comex опроверг заявление о том, что ПО может вызвать проблемы с безопасностью.
"Всегда есть определенная доля опасности, но я думаю существует большой шанс
того, что все возможные удары по этим слабостям так и останутся осуществимы
только в теории", - говорится в FAQ сайта.
Патч для устранения уязвимости также имеется, заявляет Comex, но
подчеркивает, что в возможности перепрошить устройство без использования
компьютера есть определенная польза. В своем докладе на WWDC Стив Джобс много
говорил о пост-компьютерном будущем, однако маловероятно, что он имел в виду
именно это. Тем не менее, специалисты по безопасности утверждают, что это лишь
вопрос времени, когда хакеры захотят использовать ту же уязвимость.
"Сайты типа JailBreakMe предоставляют тебе легкую возможность взломать свой
iPhone или iPad, но они могут предоставить хакерам план того, как можно заразить
твои устройства вредоносным ПО", - пишет в своем блоге Грэхем Клули, главный
обозреватель Sophos. "Я не хочу портить удовольствие тем, кто хочет перепрошить
свои устройства Apple, но крайне необходимо, чтобы компания закрыла эту
уязвимость прежде, чем она может быть использована со злым умыслом".
В ответ на это заявление федеральное ведомство Германии по информационной
безопасности предупредило пользователей быть начеку и не открывать PDF-файлы из
неизвестных источников.
"Возможные сценарии атак киберпреступников включают сбор конфиденциальной
информации (пароли, информация онлайн-банкинга, календари, электронная почта,
SMS-сообщения или контакты), доступ к камерам устройства, информация с GPS, а
также прослушивание телефонных разговоров", - говорится в заявлении.
