Как да предотвратите злонамерените уебсайтове да използват дупка за сигурност в iOS, използвана в JailbreakMe - Уеб-базиран Jailbreak метод

Сигурен съм, че всички са съгласни, че JailbreakMe 2.0, пуснат от Comex вчера, е най-лесният метод за джейлбрейк iPhone.

Comex успя да разработи уеб-базиран метод, като използва дупка за сигурност в iOS 4, iOS 4.0.1 за iPhone и iPod Touch и iPhone OS 3.2, iOS 3.2.1 за iPad.

Ето кратко описание за това как Comex е успял да джейлбрейк iOS с помощта на уеб-базиран метод:

Нещата от джейлбрейка, запазени като поток FlateDecode в този PDF файл, и уязвимостта възникват, когато Mobile Safari зареди PDF файла, оставяйки iOS да анализира филтъра FlateDecode и да използва файла с шрифтове вътре, след това Kaboom.

Експертите изразиха опасения, че уязвимостта на сигурността в iOS може да бъде използвана по подобен начин от злонамерени уебсайтове за инсталиране на зловреден софтуер.

Важно е да се отбележи, че дупката за сигурност съществува от доста време, за да може да бъде използвана от злонамерени уебсайтове, смешно е как експертите, които досега спят, обвиняват джейлбрейк за разкриването на дупката за сигурност. В тази конкретна ситуация, джейлбрейкът предлага на потребителите решение, за да попречат на злонамерените уебсайтове да използват надеждата за сигурност в iOS.

Ако сте загрижени за дупката за сигурност, можете да следвате тези стъпки, ако сте прекъснали джейла на вашия iPhone:

Update:

Можете да инсталирате PDF Loading warner - jailbreak приложение от Cydia (потърсете pdf и трябва да можете да намерите приложението jailbreak), което е много по-лесно от инсталирането на .deb файла, споменат по-долу. Благодаря на всички за бакшиша!


  • Изтеглете този .deb файл от Will Strafach (@cdevwil) и го отворете на вашия iPhone, iPad или iPod Touch с помощта на iFile, който е файлов мениджър, който може да бъде инсталиран с помощта на Cydia.
  • Отворете / var / mobile и след това два пъти докоснете .deb файла, за да го инсталирате.

След като инсталирате .deb файла, ще получите следното предупредително съобщение, ако уебсайт автоматично се опитва да отвори PDF файл:

"Виж файла? Приложението иска да покаже PDF на вашето устройство. В PDF кода за зареждане има известна грешка, която прави възможно пускането на произволен код, което може да компрометира вашата система. Сигурен ли си, че искаш да продължиш?"

Ако не вярвате на уебсайта, след това натиснете бутона „Отказ“ или натиснете бутона „Зареждане“, за да продължите.

Както можете да видите, инсталирането на .deb файла не закърпва дупката на защитния цикъл, но ви предупреждава срещу възможни злонамерени атаки.

Въз основа на характера на вратичката за сигурност в iOS, широко се спекулира, че Apple ще го поправи в iOS 4.1, който в момента е в бета версия.

Въпреки това, iPhone Dev Team и Comex не изглеждат притеснени, тъй като chpwn наскоро туитва:

Трябва да знаете, че там има / много / публични експлоатации, а JailbreakMe на @ comex просто използва един от тях. Няма голямо де

Така изглежда, че играта на котки и мишки между Apple и хакерската общност на iPhone ще продължи, което означава, че iPhone джейлбрейкъри и отключватели трябва да избягват надграждането до iOS 4.1, когато се пусне. Потребителите трябва да изчакат Comex или iPhone Dev Team да предоставят актуализация за това как се отразява на повреден или отключен iPhone.

Притеснявате ли се за дупката за сигурност или се радвате, че можете да джейлбрейк вашия iPhone? Кажете ни в коментарите.

[чрез MacStories]



Популярни Публикации