Розныя спосабы ўзлому смартфона Apple iPhone і перахопу карыстацкай інфармацыі з папулярных вэб-сэрвісаў абмяркоўваліся на якая прайшла ў выходныя канферэнцыі па кампутарнай бяспецы ToorCon у Сан-Диего.

Cпециалист па кібербяспецы Эрык Монти прадэманстраваў спосаб для атрымання поўнага доступу да чужога iPhone. Для гэтага ён выкарыстаў "шчыліну", якую выявілі гэтым улетку стваральнікі сэрвісу JailBreakMe. У дэманстрацыі Монти ахвяры прапаноўвалася спасылка на вэб-сайт, адкуль запампоўваўся файл у фармаце PDF. У дадзеным файле ўтрымоўваўся rootkit. У выніку, зламыснік атрымліваў магчымасць выконваць любыя дзеянні на прыладзе ахвяры.

Монти таксама паказаў на некаторыя магчымасці, якія хакер атрымлівае ў гэтым выпадку. Напрыклад, калі на прыладзе ахвяры ўсталяваная праграма Square, якая выкарыстоўваецца для ажыццяўлення плацяжоў з крэдытнай карты карыстача, то зламыснік можа атрымаць доступ да плацяжоў. Прычым, як адзначае Монти, чыннік складаецца хутчэй у праблемах самой аперацыйнай сістэмы iOS, чым уразлівасцях Square.

Якія ўдзельнічалі ў канферэнцыі адмыслоўцы таксама прадэманстравалі спосабы крадзяжу дадзеных карыстачоў розных сацыяльных сэрвісаў, такіх як Facebook,Twitter, Hotmail і Flickr. Справа ў тым, што гэтыя сэрвісы выкарыстаюць звычайнае, незашыфраванае http-злучэнне, а таму зламыснік можа перахапіць дадзеныя ўліковага запісу (лагін і пароль) карыстача. Для гэтага досыць проста задаволіць назіранне за ўсім трафікам, які перадаецца ад кампутара пэўнага карыстача да сервераў які цікавіць сэрвісу.

Убудова Firesheep для браўзэра Mozilla Firefox, распрацаваны Эрыкам Батлером, дэманструе, як проста можна выкрасці карыстацкія лагіны і паролі на розных вэб-сэрвісах у неабароненай Wi-Fi-сеткі. Утыліта заснаваная на метадзе перахопу cookies - службовых файлаў на кампутары карыстача, якія захоўваюць інфармацыю аб наведванні вызначаных вэб-сайтаў. Firesheep дазваляе выкрасці чужы акаўнт пры ўмове, што шыфраванню не падвяргаецца ні http-злучэнне з сайтам, ні трафік у бесправадной сетцы Wi-Fi.

Распрацоўнік тлумачыць у сваім блогу, што як толькі карыстач-ахвяра, выкарыстоўвалы тую жа сетку Wi-Fi, што і хакер, заходзіць на неабаронены вэб-сайт, у асобным акне Firefox адлюстроўваюцца яго імя і фатаграфія. Падвойны націск на імя дазволіць увайсці на сайт, выкарыстаючы лагін і пароль гэтага карыстача. Убудова распаўсюджваецца бясплатна і працуе на аперацыйных сістэмах Mac OS X і Windows, у распрацоўцы знаходзіцца версія для Linux.

Firesheep аўтаматычна адсочвае файлы, ствараныя пры ўваходзе карыстача на свой акаўнт на сайтах Amazon, Bit.ly, Cisco, Dropbox, Evernote, Facebook, Flickr, Windows Live, NY Times, Twitter, WordPress, Yahoo і інш., прычым у налады ўбудовы можна дадаць і іншыя сайты.

рэкамендуем прачытаць таксама

• Браўзэра Firefox для iPod і iPhone не будзе
• Facebook і Twitter заблакавалі ўліковыя запісы хактивистов
• Yahoo запусціла пошукавік для iPhone
• Google вядзе перамовы аб куплі Twitter?
• Adobe выпусціла папярэднюю версію Flash Player x64

Каментаванне не дазволенае.