Хакери показали прогалини в захисті iPhone і популярних веб-сервісів
Оценка пользователей: / 2
ПлохоОтлично 
27.10.10 20:00
There are no translations available.

Різні способи злому смартфона Apple iPhone і перехоплення інформації користувача з популярних веб-сервісів обговорювалися минулі вихідні на конференції з комп'ютерної безпеки ToorCon в Сан-Дієго, повідомив CNET в неділю.
Зокрема, фахівець з кібербезпеки Ерік Монті (Eric Monti) продемонстрував спосіб для отримання повного доступу до чужого iPhone. Для цього він використовував "лазівку", яку виявили цього літа творці сервісу JailBreakMe (веб-сервіс, який спрощує процедуру злому пристроїв Apple). У демонстрації Монті жертві пропонувалися посилання на веб-сайт, звідки викачувалися файли в форматі PDF. У файл була зашита програма, що набуває необмежені привілеї в системі (rootkit). У результаті, зловмисник отримував можливість виконувати будь-які дії на пристрої жертви.
Монті також вказав на деякі можливості, які хакер отримує в цьому випадку. Наприклад, якщо на пристрої жертви встановлена програма Square, яка використовується для здійснення платежів з кредитної карти користувача, то зловмисник може отримати доступ до платежів. Причому, як зазначає Монті, причина полягає скоріше в проблемах самої операційної системи iOS, ніж вразливості Square.
Фахівці, які брали участь у конференції, продемонстрували також способи крадіжки даних користувачів різних соціальних сервісів, таких як Facebook, Twitter, Hotmail і Flickr. Справа в тому, що ці сервіси використовують звичайне незашифроване http-з'єднання, а тому зловмисник може перехопити дані облікового запису (логін і пароль) користувача. Для цього досить просто влаштувати спостереження за всім трафіком, який передається від комп'ютера конкретного користувача до серверів цікавого сервісу. Як вказує видання, сервіси Google, наприклад, використовують зашифроване https-з'єднання, тому описаний спосіб злому до них не відноситься.
Плагін Firesheep для браузера Mozilla Firefox, розроблений Еріком Батлером (Eric Batler), демонструє, як просто можна вкрасти користувальницькі логіни і паролі на різних веб-сервісах у незахищеній Wi-Fi-мережі. Утиліта заснована на методі перехоплення cookies - службових файлів на комп'ютері користувача, що зберігають інформацію про відвідування певних веб-сайтів. Firesheep дозволяє украсти чужий аккаунт за умови, що шифруванню не піддається ні http-з'єднання з сайтом, ні трафік в бездротової мережі Wi-Fi.
Детально робота з плагіном Firesheep розглянута у вчорашній новині.
Розробник пояснює у своєму блозі, що як тільки користувач-жертва, що використовує ту ж мережу Wi-Fi, що і хакер, заходить на незахищений веб-сайт, в окремому вікні Firefox відображаються його ім'я і фотографія. Подвійне натискання на ім'я дозволить увійти на сайт, використовуючи логін і пароль цього користувача. Плагін розповсюджується безкоштовно і працює на операційних системах Mac OS X і Windows, в розробці знаходиться версія для Linux.
Firesheep автоматично відстежує файли, створювані при вході користувача на свій аккаунт на сайтах Amazon, Bit.ly, Cisco, Dropbox, Evernote, Facebook, Flickr, Windows Live, NY Times, Twitter, WordPress, Yahoo та ін, причому в налаштування плагіна можна додати і інші сайти. Проведений кореспондентами РІА Новини експрес-тест Firesheep показав, що плагін працездатний не на всіх адаптерах Wi-Fi.
(Джерело RU: forum.xaknet.ru)
 
>
КнигаНовости Практика поискаПартнерыО нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting