Нижний Новгород
ГЛАВНАЯ НОВОСТИ БАНКИ ГОСТИНИЦЫ КАФЕ АФИША НОВОСТИ IT КОНСУЛЬТАЦИИ РЕЦЕПТЫ
26 Октября 2010 г.

Участники ToorCon взломали iPhone и популярные веб-сервисы

Участники ToorCon взломали iPhone и популярные веб-сервисы
Изображение с securitylab.ru

Различные способы взлома смартфона Apple iPhone и перехвата пользовательской информации с популярных веб-сервисов обсуждались на прошедшей в выходные конференции по компьютерной безопасности ToorCon в Сан-Диего.

Cпециалист по кибербезопасности Эрик Монти продемонстрировал способ для получения полного доступа к чужому iPhone. Для этого он использовал "лазейку", которую обнаружили этим летом создатели сервиса JailBreakMe. В демонстрации Монти жертве предлагалась ссылка на веб-сайт, откуда скачивался файл в формате PDF. В данном файле содержался rootkit. В результате, злоумышленник получал возможность выполнять любые действия на устройстве жертвы.

Монти также указал на некоторые возможности, которые хакер получает в этом случае. Например, если на устройстве жертвы установлена программа Square, которая используется для осуществления платежей с кредитной карты пользователя, то злоумышленник может получить доступ к платежам. Причем, как отмечает Монти, причина заключается скорее в проблемах самой операционной системы iOS, чем уязвимостях Square.

Участвовавшие в конференции специалисты также продемонстрировали способы кражи данных пользователей различных социальных сервисов, таких как Facebook, Twitter, Hotmail и Flickr. Дело в том, что эти сервисы используют обычное, незашифрованное http-соединение, а потому злоумышленник может перехватить данные учетной записи (логин и пароль) пользователя. Для этого достаточно просто устроить наблюдение за всем трафиком, который передается от компьютера конкретного пользователя до серверов интересующего сервиса.

Плагин Firesheep для браузера Mozilla Firefox, разработанный Эриком Батлером, демонстрирует, как просто можно украсть пользовательские логины и пароли на различных веб-сервисах в незащищенной Wi-Fi-сети. Утилита основана на методе перехвата cookies - служебных файлов на компьютере пользователя, хранящих информацию о посещении определенных веб-сайтов. Firesheep позволяет украсть чужой аккаунт при условии, что шифрованию не подвергается ни http-соединение с сайтом, ни трафик в беспроводной сети Wi-Fi.

Разработчик объясняет в своем блоге, что как только пользователь-жертва, использующий ту же сеть Wi-Fi, что и хакер, заходит на незащищенный веб-сайт, в отдельном окне Firefox отображаются его имя и фотография. Двойное нажатие на имя позволит войти на сайт, используя логин и пароль этого пользователя. Плагин распространяется бесплатно и работает на операционных системах Mac OS X и Windows, в разработке находится версия для Linux.

Firesheep автоматически отслеживает файлы, создаваемые при входе пользователя на свой аккаунт на сайтах Amazon, Bit.ly, Cisco, Dropbox, Evernote, Facebook, Flickr, Windows Live, NY Times, Twitter, WordPress, Yahoo и др., причем в настройки плагина можно добавить и другие сайты.

Источник


Все новости рубрики новости телекоммуникаций за сегодня




Если Вы хотите разместить новости или пресс-релизы своей компании в разделе "Новости телекоммуникаций и IT", свяжитесь с редактором по адресу: diza[собачка]innov.ru.
При любом использовании материалам обязательна гиперссылка вида:


Яндекс.Метрика
© 1996-2012 INNOV.RU (Иннов.ру), ООО «Иннов», г. Нижний Новгород
Свидетельство РОСКОМНАДЗОРА ИА № ТУ 52-0604 от 29 февраля 2012 г.
Дизайн-студия «Иннов» - продвижение и cоздание сайтов