A lezárt iPhone-ok (bizonyos fokig) kinyithatók a feloldó jelszó ismerete nélkül

 ( trey | 2008. augusztus 28., csütörtök - 12:03 )

Hiába zárjuk le Apple iPhone telefonunkat, bárki képes lehet néhány "gomb" "megnyomásával" érzékeny információkat kinyerni a telefonból, és képes lehet bizonyos körülmények közt a telefon egyes szolgáltatásainak használatára. A sebezhetőséget a MacRoumors fórum "greenmymac" nicknevű tagja fedezte fel. Hogy használható ki a sebezhetőség?

iPhone telefonunkat lezárhatjuk az illetéktelen használat elől a 'Settings -> General -> Passcode Lock' útvonalon megadott 4 jegyű számkóddal. Ha a megfelelő idő eltelik (illetve megnyomjuk a ki-bekapcsoló gombot a készülék tetején), a telefon lezárja magát és utána csak a megadott kód ellenében lehet újra használatba venni. Elméletileg, mert ez a lezárás bizonyos fokig megkerülhető.

A telefon lezárt állapotban is lehetővé teszi a vészhívások lebonyolítását. A 'Enter Passcode' oldalon megtalálható a bal alsó sarokban egy 'Emergency Call' gomb. A gomb megérintésével előcsúszik az 'Emergency Call' oldal a megfelelő tárcsázó billentyűzettel. Ezen az oldalon a rosszindulatú támadónak elegendő kétszer egymás után lenyomni a 'Home' billentyűt ahhoz, hogy hozzáférjen a 'Favorites' oldalhoz, ahol a kedvenc kapcsolatainkat találhatja. A kapcsolatok adataihoz hozzáférhet a támadó probléma nélkül. Ha van olyan kapcsolatunk, amelynél meg van adva e-mail cím, honlap url, akkor a támadó elindíthatja a Safari böngészőt, vagy hozzáférhet a levelezési alkalmazáshoz, az SMS küldő szoftverhez. Elovashatja az SMS-eket, leveleket, webes kedvenceket, anélkül, hogy ismerné a feloldó kódot.

A probléma a legfrissebb, 2.0.2-es firmware-t (is) érinti.

Mivel a hozzáférés gyakorlatilag másodpercek kérdése, ne hagyjuk érzékeny információkat tartalmazó telefonunkat őrizet nélkül.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kipróbáltam, valóban így van.

--
trey @ gépház

nalam nem csinalja :)

Téged nem dádáznak el melóhelyen, hogy iPhone-t használsz?:)

lol, csak nem vettel te is egy hypefont? ;)

A'rpi

Jaham. Rábeszéltetek.

--
trey @ gépház

ez ciki :)

eleg komoly

Még mindig jobb, mint ha linuxos telefonnal esett volna meg. Akkor ezt olvasnám évekig...

Idézet:
(...) ne hagyjuk érzékeny információkat tartalmazó telefonunkat őrizet nélkül.

Ja, hogy lába ne keljen adatostól mindenestől... :D
--
Coding for fun. ;)

:D

Nem feltétlenül kell lábának kelnie, hogy ilyesmi miatt kellemetlen helyzetbe kerülj. Tegyük fel 4 barátnőd van, de nem tudnak egymásról. Ha az egyik kicsit agyasabb, simán belenéz a telefonodba úgy, hogy fogalmad sincs róla. Oszt kiderül, hogy sz*r van a palacsintában. Annak ellenére, hogy abban a tudatban vagy, lezártad ;)

--
trey @ gépház

Aztán otthagy a lány és viszi a telefont is.

:)

A másik három telefonszámával.

Igen, és délutánra összehívja a három lányt és tartanak egy jó kis ivós beszélgetést.* Természetesen megállapodnak abban, hogy volt közös fiújuk egy nagy ez és egy mégnagyobb az.** Mivel az alkohol a meglévő képességeket tompítja és a hiányzó képességeket pillanatok alatt kifejleszti, ezért a lányok ügyesen elszórakoznak az iPhone-nal és a benne tárolt adatokkal. A kocsmából hazafelé menet visszaviszik az iPhone-t a tulajdonosának.*** Mivel beléjük szállt az alkohol őszinte jó kedélye, ezért vicceseket és kevésbé vicceseket kiabálnak, amire a célszemély és az összes szomszéd felébred. Mivel ez Magyarország és a célszemély a zajokra fél percen belül előbújt, ezért egyetlen szomszéd sem üvöltözik, hanem a legtöbben tesznek az egészre úgy, ahogy van. Pár szomszéd lesben áll, hátha lesz valami, egyiküknél még kamera is van. Célszemély kijön a házból. – az iPhone miatt jött ki a hideg éjszakába, nem másért. Nem történik semmi – a szomszédok utálják ezt, célszemélynek kellemetlen, a lányoknak fáj.**** Az egyik lány a célszemélyt célba veszi (ezért célszemély) és lő. Célszemély arca egy pillanat alatt holtsápadttá válik*****, agyába vér–, szemeibe könny tódul. Az ész már mindent előre tud: nincs menekvés. Célszemély hatalmas sérülést szenved ott, ahol a legjobban fáj. Igen, megszakad a szíve, mikor az iPhone a rideg betonnak csapódik.****** Nah, de hagyjuk ezt a történetet és ne menjünk tovább a szomorúság ösvényén. A videó holnaptól látható a YouTube-on.

* nem a pia kevés, hanem a beszéd
** megjegyzik, bárcsak az is akkora lett volna, amekkora nem volt
*** valamiért pezsgőt is visznek
**** jah, ezen még az alkohol sem segít
***** célszemély egy pillanatra meg is hal, de az is lehet, soha nem is élt
****** avatatlan fül azt hiheti, az iPhone becsapódását hallja, pedig egy szív szakad meg épp

:)

iPhone, 4 barátnő. Burzsujok! :D

+1 :-)

Csak a meseben...;)
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

az első randin ez volt az első dolog amit kikötöttem: a telefonomhoz nem nyulhat!

--
by Mikul@s

nem volt neki gyanús mi?:)

mondjuk én is rühelleném, ha a telefonomban vagy a notebookomban turkálna...
ellenben én sem teszek ilyet...

nem értette meg, ez azóta is visszatérő téma, szerencsére a pcn lévő dolgokhoz nem fér hozzá (Linux)...

piszkosul féltékeny a nejem, elég nehéz tartani a kapcsolatot másik 3 nővel :-)
nem, nem áll szándékomban megcsalni, de nem élhetek a 4 fal közé zárva, néha kell egy más "szoftverrel" rendelkező nővel is találkoznom, dumálnom ;-)

--
by Mikul@s

Szerintem ezt mondani sem kene. A telefon az egy szemelyes dolog, nem nyulok az asszonyehoz, ahogy a taskajaban sem turkalok, es a naplojat sem nezem meg ha csak nem konkretan O ker meg ra... Es persze ezt elvarom forditva is.

[OFF] +1 de a mai fiatalság elvárja a másiktól hogy "ami a tied az enyém is" jóformán próba házasságot csinálnak. Minden jelszót minden usernevet tudni akar - főleg a nő - a másikról.

Én egyszer ezért pöccentem be nagyon valakire..[/OFF]

hiába vannak hasonló elveim (nem kotorászok a holmija közt, nem veszem fel a telefonját, nem olvasom el az smseit), ő úgy érzi, hogy neki mindent tudnia kell, ilyenkor a szokásos kérdés: ki ez a nő, miért tartom vele a kapcsolatot? stb...
szerinte nekem csupa férfiakból álló cégnél kellene dolgoznom, és nem kéne nők közelébe kerülnöm :-)

--
by Mikul@s

Ezek szerint te nem ott dolgozol. Mázlista...

becslésem szerint kb ~130 nő dolgozik a cégünknél :-D
(kb ~ 30 férfira)

--
by Mikul@s

Akarsz beszélni róla?


"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

Ez most nalad egy szokasos elethelyzet? :) Pont ez jutott eszedbe? :)

Röhögni fogsz, de távoli rokonom így járt. A barátja 3 vagy 4 nőt tartott. De úgy, hogy volt 1 felesége (sőt, gyerekei), és a szeretők nem tudtak erről semmit. Aztán valahogy kiderült a dolog, erre a nők összefogtak és közösen buktatták le. :)

Azt hittem azt fogod irni: "De ugy, hogy volt 1 felesege (sot, ketto)" :-)

Nem, több más, kevésbé humoros példát is említhettem volna. Gondoltam így szemléletes lesz a probléma.

--
trey @ gépház

Ezt már nehéz lesz kidumálni... ;-)

iPhone az igazság telefonja!

Ez nem bug, hanem feature... ;o)

KAMI
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey

lol

"iPhone az igazság telefonja!"
Amikor az első generációs megjelent, hogy is emlegették? Jesus-phone?
Biztos be akarják tartani a Biblia parancsolatait. :)

...és nem annyira paranoiás, hogy rendszeresen törlöd a kínos sms-eket, browser historyt stb... az ilyen meg is érdemli azt a palacsintát

Minek 4? Már 3 is bőven sok ;)

---
/dev/sda1 has gone 49710 days without being checked, check forced.

Eh...

Nekem a telefonomon az automatikus időzár után a 4 jegyű pin feloldása nélkül csak segélyhívást lehet kezdeni.

De a volt nejem a múltkor kileste a pin-t, és aztán egyszercsak elkezdett megjegyzéseket tenni, hogy miért írtam azt az email-ben a barátnőmnek.

Gáz.

Persze nem a telefon hibája.

Megjegyzem: ha 4 barátnőm lenne, és az egyik elkezdené a leveleimet olvasni, kirúgnám a fenébe. Nem kéne még egy ilyen asszony :-)

Azért nem gondoltam volna, hogy ennyire életszerű lesz a példám :) De azért sokat tapasztalt öreg róka vagyok már, tudom, hogy mik mennek :DD

--
trey @ gépház

Persze elég egyszerű kivédeni a dolgot: Az alapértelmezett lapot nem a kedvencekre hanem a 'Home' képernyőre kell állítani és máris nem működik a dolog. Azon kívül javították is a problémát csak nem tették bele a nagy update csomagokba :)

"Az alapértelmezett lapot nem a kedvencekre"

Én szeretném a kedvencekre állítani.

"Azon kívül javították is a problémát"

Érdekelnének a részletek.

"csak nem tették bele a nagy update csomagokba :)"

Merthogy? Hivatalos backdoor-nak meghagyták, vagy mi? :))

--
trey @ gépház

Azt mondtad, "javították is a problémát". Hol találom a javítást? Vagy te a workaround-ról (számomra félmegoldás) beszélsz? Javítás != workaround.

--
trey @ gépház

Kozeptajon irjak, hogy patch keszult a hibara meg januarban csak a 2.0 es kesobbi szoftverekbe ez a patch nem kerult be. Szoval nem a workaroundra gondolok. :) viszont az is igaz, hogy elerheto javitas valoban nincs meg csak a workaround.

CIA telefon az Apple-nek:

"Mr. Jobs, mi valóban egy egyszerű, képzetlenebb ügynökök által is használható backdoor-t kértünk, de ezt a megoldást majdnem sértőnek találom!"

a nokiakat is ki lehet nyitni az un. security mastercode-dal (meg a telomra is van hozza javas generalo program...), szoval nem tudom, mi ebben olyan nagy durranas :)

szerk: ja bocs, hogy ez iphone, akkor tenyleg erdekes! :)

öcsém motoroláját is le lehet zárni, de nem csak a billentyűzár feloldókód nyitja ki, hanem valami "telefonzár kód" is kinyitja (ez sehol nincs leírva) az pedig alapból valami 0000. a trükk az, hogy nem a bal funkciógombot kell nyomni, hanem a középső gombot (a navigációs billentyű közepén)

Mint ahogy több helyen lehetett olvasni Kínában a külföldi céges vendégek telefonjait megnézegetik. Ugyanúgy ahogy laptopot stb. Lehívják a vendéget a szálloda bárjába, valaki meg közben végigmatatja a telefont, laptopot. Ha csak ennyi akkor elég egyszerű. Valami britt kormányalkalmazottnak így lopták el a Blackberry-jét. Ha az iPhone ilyen egyszerű célpont akkor csak örülhetnek a sárgák.

Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش

Jahm, azota jarkalnak a maganyos kockak Chinatownba a telojukat villogtatva, not felszedni.

userfriendly roxxor...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Miért, nem viszi magával a süket a telefont? Nekem ha kiteszem a lábam valahova odaragad a nyakamon lógó kulcs csomó mellé..

Na igen, en is azt szoktam mondani: Mobiltelefon, erted? Mobil.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Semmi gond, csak hónapok kérdése és már javítja is az Apple

Kizart. Mint tudjuk par hupon aktiv postolotol az Apple fejlesztesi modelje szinte kizarja a hibakat, kozelit a tokeleteshez, olyan nincs hogy ilyen hibat elkovessenek..

Olyan Win9x feelingem van :)
Annál volt az, hogy jelszavas képernyővédő esetén ugye "nem tudtál belépni", viszont írtál egy programot, ami megkereste és kinyírta a képernyővédő appot, mindezt feltetted egy cd-re, autorun beállítottad, be a meghajtóba, és ügyes windows ugye végrehajtja az autorunt... :)
--
Discover It - Have a lot of fun!

autorun volt az elso, amit letiltottam :), idegesitett.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

hogy is mondjak? Ha fizikailag hozzafernek a gepedhez, az tobbe nem a te geped...

Mintha le is lehetett volna mégsemezni a bejelentkeztető ablakot, és úgy is beengedett. De nem emlékszem, lehet, h. azért ennyire nem volt szar. :)

Elég volt egy Esc-et nyomni.

--
trey @ gépház

Ha meg beírtál egy új felhasználó-nevet, létrehozott neki egy új profilt. :)