ऐप्पल मई आईफोन पर गंभीर एसएमएस भेद्यता को पकड़ सकता है

ऐप्पल मई एक आईफोन भेद्यता को ठीक करने के लिए काम कर रहे हैं जो किसी हमलावर को दूरस्थ रूप से फोन पर रूट पहुंच के साथ बिना हस्ताक्षरित सॉफ़्टवेयर कोड को स्थापित करने और चलाने के लिए अनुमति दे सकता है।

प्रश्न में सैद्धांतिक हमले एसएमएस के माध्यम से प्राप्त किए गए टेक्स्ट संदेशों को संभालने के तरीके में एक कमजोरी का फायदा उठाता है (लघु संदेश सेवा), सुरक्षा शोधकर्ता चार्ली मिलर ने गुरुवार को सिंगापुर में साइस्कैन सम्मेलन में एक प्रेजेंटेशन के दौरान कहा। उन्होंने एसएमएस भेद्यता का विस्तृत विवरण प्रदान नहीं किया।

मिलर मैकोज़ एक्स सुरक्षा पर एक प्राधिकरण है, और मैक हैकर की हैंडबुक का सह-लेखक है।

[आगे पढ़ने: प्रत्येक के लिए सर्वश्रेष्ठ एंड्रॉइड फोन बजट।]

एक एसएमएस दोष किसी हमलावर को मोबाइल ऑपरेटर के नेटवर्क पर एसएमएस द्वारा भेजे गए फोन पर सॉफ़्टवेयर कोड चलाने की अनुमति दे सकता है। मिलर के मामले में, ऐसा प्रतीत होता है कि उन्होंने एक आईफोन को दूरस्थ रूप से क्रैश करने के लिए पाया गया दोष, एक संकेत है कि एक और गंभीर हमला संभव हो सकता है।

यदि ऐसा है, तो दुर्भावनापूर्ण कोड सैद्धांतिक रूप से आदेशों का उपयोग कर फोन के स्थान की निगरानी करने के लिए आदेशों को शामिल कर सकता है जीपीएस, वार्तालापों पर नजर रखने के लिए फोन के माइक्रोफोन को चालू करें, या फोन को सेवा हमले या एक बोनेट के वितरित अस्वीकार में शामिल करें, मिलर ने कहा कि

मिलर ने ऐप्पल को भेद्यता की सूचना दी, उम्मीद है कि यह तय हो जाएगा। वह लास वेगास में ब्लैक हैट यूएसए सम्मेलन में एक योजनाबद्ध प्रस्तुति के दौरान आगे की चर्चा पर चर्चा करने की योजना बना रहा है।

एसएमएस भेद्यता के बावजूद, आईफोन में इस्तेमाल किए गए मैकोज़ एक्स का पटा हुआ संस्करण इसे पूर्ण कंप्यूटर चलाने से अधिक सुरक्षित बनाता है -बॉउन ऑपरेटिंग सिस्टम, मिलर ने कहा।

स्टार्टर्स के लिए, ओएस का पट्टी-डाउन संस्करण हमलावरों के लिए कम विकल्प प्रस्तुत करता है, एप्लिकेशन और सुविधाओं को हटाता है जैसे एडोब फ्लैश और जावा के लिए समर्थन, जो वे अन्यथा शोषण करने में सक्षम हो सकते हैं कमजोरियों। इसके अलावा, आईफोन में स्मृति में संग्रहीत डेटा के लिए हार्डवेयर सुरक्षा शामिल है और फोन को केवल उस सॉफ्टवेयर कोड को चलाने के लिए डिज़ाइन किया गया है जिसे ऐप्पल द्वारा डिजिटल रूप से हस्ताक्षरित किया गया है।

आईफ़ोन को सैंडबॉक्स में भी चलाने की आवश्यकता है, एक सुरक्षा सुविधा जो अलग है उन्हें अन्य अनुप्रयोगों से और फोन की क्षमताओं तक पहुंच को सीमित करता है। मिलर ने कहा, "एसएमएस आईफोन पर हमला करने के लिए एक महान सदिश है।"

अक्सर सेल के बीच संक्षिप्त पाठ संदेश भेजने के लिए अक्सर इस्तेमाल होता है, लेकिन एसएमएस द्वारा हमलावरों को फोन की क्षमताओं तक अधिक पहुंच प्राप्त करने का एक तरीका प्रदान करता है। फोन, एसएमएस आईफोन में द्विआधारी कोड भी भेज सकते हैं, जो फिर बिना किसी भी उपयोगकर्ता इंटरैक्शन के कोड को संसाधित करता है। प्रत्येक एसएमएस संदेश 140 बाइट्स तक सीमित है, लेकिन लंबे समय तक दृश्यों को कई संदेश के रूप में भेजा जा सकता है जो स्वचालित रूप से पुन: सौंपे जाते हैं।

यह सुविधा बड़े कार्यक्रमों को एक फोन पर वितरित करने की अनुमति देती है, मिलर ने कहा।

इसके अतिरिक्त, आईफोन के एसएमएस फंक्शन में मिली कमजोरियों ने हैंडसेट पर एक हमलावर रूट पहुंच प्रदान की, मिलर ने कहा। आईफोन के अन्य अनुप्रयोगों के लिए यह मामला नहीं है, जैसे कि इसका ब्राउज़र, जहां कमजोरियां केवल एप्लिकेशन के सैंडबॉक्स पर हमलावर पहुंच देती हैं।

"आईफोन एक्स की तुलना में आईफोन अधिक सुरक्षित है, लेकिन एसएमएस एक गंभीर भेद्यता हो सकता है," मिलर ने कहा।

संपादक का नोट: यह रिपोर्ट 5 जुलाई को गलत रिपोर्ट को सही करने के लिए अपडेट की गई थी कि आईफोन आईफोन को एसएमएस संदेशों को संभालने के तरीके में एक दोष को ठीक कर रहा है। इस बात की कोई पुष्टि नहीं है कि इस तरह का एक फिक्स काम में है, हालांकि शोधकर्ता जिसने बग को उम्मीद की है उसे ठीक कर दिया जाएगा।