Przeglądarka Safari pracująca w iPhone’ach z prawami roota — to musiało się źle skończyć. Rik Farrow, konsultant ds. bezpieczeństwa, w 6-minutowym filmie pokazał, jak włamał się na swój telefon.
Farrow użył narzędzia o nazwie Metasploit. Atak wymaga aktywności ze strony użytkownika, który musi wejść na specjalnie spreparowaną stronę WWW. Po uzyskaniu kontroli nad telefonem można podsłuchiwać rozmowy wykonywane przez, lub w pobliżu (!) iPhone’a, czytać pocztę, oglądać historię oglądanych stron, etc.
Przed miesiącem pisaliśmy o ostrzeżeniach ekspertów, że decyzja Apple’a o uruchamianiu Safari z prawami administratora jest błędem. Najwyraźniej Apple postanowił zignorować nauczkę, jaką dostał Microsoft nie kładąc swego czasu nacisku na kwestie bezpieczeństwa w Internet Explorerze i Windows 95. Co ciekawe, system operacyjny iPhone’a jest UNIX-em, do tego certyfikowanym ;), więc bezpieczeństwo ma niemal “za darmo”.
Apple dystrybuuje już odpowiednią łatkę.
O sprawie piszą m.in.: hacking.pl, ZDNet.co.uk i FastCompany.com.