Ekspertas: nulaužti „iTunes“ ir „App Store“ gali kiekvienas (Video)  (1)

„Vulnerability Lab“ specialistas Benjamin Kunz Mejri paskelbė ataskaitą apie aptiktą „iTunes“ ir „App Store“ pažeidžiamumą.


Prisijunk prie technologijos.lt komandos!

Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.

Sudomino? Užpildyk šią anketą!

Problema slypi sąskaitų sistemoje, kuri gana akivaizdžiai dirba su kintamojo „name value“ reikšme, kurioje saugomas prijungto įrenginio pavadinimas. Jei darbo procese pervadini prietaisą, vietoj pavadinimo įrašant kenksmingą kodą, tai jis bus įvykdytas. Mejri pažymi, kad įsilaužimui į „iTunes“ ir „App Store“ pakanka vienoje iš „Apple“ parduotuvių atlikti pirkimą. Sąskaitų generavimo metu sistema apdoroja su prietaisu susijusius duomenis.

Aptiktas pažeidžiamumas gali būti naudojamas naudotojų sesijų nulaužimui, atliekant „žvejojimo“ (fishing) atakas, taip pat nukreipiant vartotojus į kitus išteklius, kuriuose gali būti naudojamas kenksmingas arba reklaminis kodas.

Pasidalinkite su draugais
Aut. teisės: TOPCOM
TOPCOM
(18)
(0)
(18)

Komentarai (1)