Tyrėjai, dirbantys „Independent Security Evaluators“ kompanijai, kuri tikrina klientų kompiuterių saugumą įsilauždama į juos, teigia galintys perimti „iPhone“ kontrolę naudodamiesi „Wi-Fi“ prisijungimu arba įviliodami vartotojus į kenksmingą internetinį tinklalapį. Įsilaužimas, kaip buvo pranešama iš pradžių, leido jiems gauti asmeninę informaciją, patalpintą telefone.
Nors „Apple“ įdiegė svarstytinus saugumo metodus į savo įrenginį, sako Charles A. Miller, principinio saugumo analitikas šioje firmoje, „Kai randi klaidą, gali visiškai kontroliuoti įrenginį“. Firma, įsikūrusi Baltimorėje, Merilendo valstijoje, perspėjo Apple dėl pažeidžiamumo šią savaitę ir rekomendavo programinį pataisymą, kuris galėtų išspręsti problemą.
„Apple“ spaudos atstovė Lynn Fox sako: „Apple į saugumą žvelgia labai rimtai ir turi didelį sąrašą potencialių pažeidžiamumų dar prieš tai, kai jie paveikia vartotojus.“
„Mes peržiūrinėjame pranešimą, parašytą I.S.E. (anksčiau minėtoji saugumo kompanija) ir visuomet priimame pastabas, kurios padėtų padidinti mūsų įrenginių saugumą“, – teigia „Apple“ atstovė.
Nėra jokių įkalčių, kad ši klaida buvo išnaudota ar nuo jos nukentėjo vartotojai.
Dr. Miller, buvęs JAV Nacionalinio Saugumo Agentūros darbuotojas, kuris turi daktaro laipsnį kompiuterių srityje, pademonstravo įsilaužimą reporteriui pasinaudodamas jo „iPhone“ interneto naršyklę („Safari“), kad apsilankytų paties sukurtame internetiniame puslapyje.
Kai jis prisijungė, puslapis paleido kenksmingą kodą, kuris užėmė telefoną. Telefonas sekė instrukcijas ir perdavė bylų rinkinį, kuriame buvo ir nesenos tekstinės žinutės, el. pašto adresų sąrašas, atakuojančiam kompiuteriui.
„Mes galime gauti kurią tik norime bylą, – teigė jis. – Potencialiai ataka galėtų būti panaudota užprogramuoti telefoną skambinimui, o tokiu atveju auka gautų dideles sąskaitas. Taip pat telefoną būtų galima paversti nešiojamu erzinimo įrenginiu.“
Steven M. Bellovin, Kolumbijos universiteto kompiuterijos profesorius sako: „Šis įsilaužimas atrodo genialiai“. S. M. Bellovin, kuris ilgą laiką buvo „AT&T Labs“ kompiuterių saugumo ekspertu, teigia kad „iPhone“ pažeidžiamumas buvo neišvengiamas kompiuterių ir telefonų vystymosi rezultatas.
„Jau ne vienerius metus žinome, kad virusai ir kirminai kėsinasi tapti telefonų problema, kai šie tapo truputį galingesni – štai ir iškilo problemos, – teigia S. M. Bellovin. – „iPhone“ yra visavertis kompiuteris ir jis tikrai turi kompiuterių lygio problemų.“
S. M. Bellovin teigia įtaręs, kad telefonai, naudojantys „Windows Mobile“ operacinę sistemą bus panašiai atakuojami, tačiau jis kol kas nėra girdėjęs apie tokias atakas.
„Tai nėra pasaulio pabaiga; tai nėra „iPhone“ pabaiga, – sako jis. – Juk įprasti pažeidžiamumai kompiuterių naršyklėse nenužudė kompiuterių. Tai ženklas, kad negalima nuleisti apsaugos kartelės. Tai ženklas, kad mums reikia gaminti dar geresnę programinę įrangą ir sistemas.“
Pažeidžiamumo detalės, tačiau ne telefono laužimo gidą, galima rasti www.exploitingiphone.com svetainėje.
Viso pasaulio įsilaužėliai bandė atskleisti „iPhone“ paslaptis nuo pat jo išleidimo praeitą mėnesį; dauguma koncentravo savo jėgas į bandymus „atrakinti“ „iPhone“ nuo jo bevielio ryšio tiekėjo AT&T ir bandyti paleisti nenumatytas programas įrenginyje. „iPhone“ yra uždara sistema, kuri negali priimti išorinių programų ir gali būti naudojama tik AT&T bevieliame tinkle.
Kai kurie minėtų įsilaužėlių pateikė savo pasiekimų ataskaitas internete. Žinių pateikimas prasidėjo penktadienį, kai įsilaužėlis vardu „Nightwatch“ sukūrė ir paleido nepriklausomą programą įrenginyje.
„Independent Security Evaluators“ tyrėjai sugebėjo nulaužti telefono programinę įrangą per savaitę, teigia Avieli D. Rubin, kompanijos įkūrėjas ir informacijos saugumo instituto Johns Hopkins universitete techninis direktorius. Avieli D. Rubin, kuris nusipirko „iPhone“ dieną po jo išleidimo, interviu teigė, kad jis pasiūlė trims kolegoms Dr. Miller, Joshua Mason ir Jake Honoroff įdomų prizą, jeigu jie sugebėtų „nulaužti“ „iPhone“. „Aš pasakiau vaikinams, kad nupirksiu jiems „iPhone“ telefonus.“
Dr. Miller jau buvo bandęs išnaudoti spragas kompiuterinėse „Safari“ naršyklės versijose ir planavo atskleisti tą pažeidžiamumą, žinomą, kaip buferio perpildymą, „Black Hat“ kompiuterių saugumo konferencijoje sekantį mėnesį. Dr. Miller iš karto pagalvojo pabandysiąs patikrinti ar telefonas, kuris taip pat naudoja „Safari“, bus taip pat pažeidžiamas.
Avieli D. Rubin teigia kad tyrimo tikslas nebuvo parodyti, kad „iPhone“ tikrai yra pažeidžiamesnis nei kiti telefonai ar kad „Apple“ produktai yra nesaugesni, negu kitų kompanijų. „Viskas, kas yra taip sudėtinga, kaip kompiuteris – koks ir yra šis telefonas – turės pažeidžiamumų“, – sako jis.
Yra žymiai daugiau virusų, kirminų ir kitos kenksmingo programinės įrangos, paveikiančios „Windows“ sistemas, negu „Apple“ sistemas. Tačiau, anot p. Rubin, „Apple“ produktai pritraukė mažiau atakų dėl to, kad jų kompiuteriai turi mažiau vartotojų, o įsilaužėliai siekia didesnio poveikio.
„Windows“ nuolat laužiami ne dėl to, kad jie mažiau saugūs, nei „Apple“, tačiau todėl, kad 95 procentai kompiuterių vartotojų naudoja „Windows“. Kiti 5 procentai mėgavosi medaus mėnesiu, kuris laikui bėgant baigsis.“
„iPhone“ tampa savo sėkmės auka. „Ironiška tai, kad kuo kas nors yra populiaresnis, tuo nesaugesnis jis tampa, nes populiarumas nupiešia didelį taikinį ant jo nugaros.“
Avieli D. Rubin sakė, kad jo tikslas buvo atrasti pažeidžiamumus ir perspėti apie juos, kad kompanijos apsaugotų savo produktus, o klientai būtų užtikrinti, kad technologijos, kurias jie naudoja, yra visiškai saugios.
P. Rubins sako: „Aš dabar dukart pagalvosiu prieš jungdamasis prie atsitiktinio „Wi-Fi“ tinklo“, – tačiau jo nuomonė apie telefoną dėl to nepasikeitė: „Jūs turėtumėt išplėšti jį iš mano šaltų mirusių rankų, kad atimtumėte jį iš manęs“, – teigia jis.