Cu interfata sa usor de utilizat si sumedenia de aplicatii disponibile pentru descarcat, Iphone este unul dintre cele mai atractive telefoane inteligente. Dar contrar cu ce sustine Apple, noua criptare folosita este proasta cand vine vorba de protectia datelor sensibile cum ar fi numarul de card si datele securizate personale
Apple sustine ca sute de mii de aparate iPhone sunt folosite de corporatii si agentii guvernamentale. Insa mai putin cunoscut este faptul ca presupusa metoda de criptare „enterprise-friendly” inclusa in Iphone 3GS este atat de slaba incat poate fi sparta in doua minute cu softuri freeware. „Este ca si cum ai tine mesajele secrete in acelasi fel ca si decodorul de sunet” spune Jonathan Zdziarski – dezvoltator la iPhone. „Nu cred ca vre-unul dintre noi (dezvoltatori) a mai vazut pana acum o metoda de criptare asa de slaba.”
Cu interfata sa usor de utilizat si sumedenia de aplicatii disponibile pentru descarcat, Iphone este unul dintre cele mai atractive telefoane inteligente pentru segmentul business. Foarte multe companii par a fi de acord cu aceasta afirmatie. Intr-o conferinta Apple, purtatorul de cuvant de la Apple – Tim Cook spune ca aproape 20% din 100 de companii au achizitionat 10000 de aparate Iphone – sau chiar mai multe; multe corporatii si agentii de guvernamant au achizitionat fiecare cate 25.000 de aparate iar Iphone a fost aprobat spre achizitie in mai mult de 300 de institutii de invatamant. Dar contrar cu ce sustine Apple, noua criptare folosita este proasta cand vine vorba de protectia datelor sensibile cum ar fi numarul de card si datele securizate personale, adauga Zdziarski.
Zdziarski afirma ca e la fel de usor sa accesezi datele private ale utilizatorilor Iphone 3GS ca si la generatia veche Iphone 3G sau chiar prima generatie Iphone – ambele neavand nici o optiune de criptare. Daca un hacker pune mana pe un iPhone poate sustrage datele doar cu soft freeware. Datele pot fi extrase in mai putin de doua minute iar continutul diskului poate fi copiat in maxim 45 de minute – spune Zdziarski. Va intrebati unde este protectia prin criptare atunci? Nu este. Ciudat este ca odata ce incepi sa extragi datele dintr-un Iphone 3GS, Iphone-ul decripteaza datele singur.
Ca sa fure imaginea unui disk Iphone, hackerul poate folosi softuri free precum “Red Sn0W and Purple Ra1n” pentru a instala un kernel personalizat in telefon. Apoi, hackerul poate instala un shell securizat (SSH) pe portul de disk al telefonului si extrage datele intr-un calculator via SSH. Pentru a demonstra cum se procedeaza, Zdziarski a stabilit o partajare de ecran(screenshare) cu siteul wired.com si a fost capabil sa patrunda intr-un Iphone 3GS doar in cativa pasi. Criptarea nu a fost o problema….
Cu toate acestea, cei care folosesc Iphone pentru afaceri nu par a fi interesati – sau nu stiu despre slabiciunea criptarii a aparatului. „Asistam la cresterea interesului pentru ultima versiune iPhone 3.0 si iPhone 3GS datorita noului hardware de criptare si imbunatatirea politicilor de securitate”, a spus Cook la conferinta.”Telefonul se descurca bine pentru afaceristii mici dar si organizatiile mari.”
In mod clar gigantul Apple ofera aplicatii utile utilizatorilor. De exemplu Quickoffice Mobile permite utilizatorilor sa acceseze si sa editeze fisiere Word sau Excel. Pentru tranzactii rapide exista aplicatia „Accept Credit Card” care permite procesarea datelor bancare oriunde exista conexiune WI-Fi sau internet pe mobil.
Numerosi angajati ai Halton Company – un mare producator de echipamente industriale, folosesc Iphone la serviciu. Lance Kidd (seful relatiilor cu publicul) spune ca merita riscul comparativ cu numarul mare de aplicatii disponibile pentru iPhone. „Organizatia ta trebuie sa fie pregatita cultural sa accepte anumite grade de risc” , spune Kidd.” Pot spune ca am securizat totul, chiar si butoanele…dar nu ar fi adevarat. Cultura noastra este de asa natura precum spunea managerul general: Sunt pregatit sa risc pentru valoarea aplicatiilor.” Kidd a tinut sa precizeze ca angajatii Halton nu folosesc Iphone pentru a stoca informatii confidentiale ci il folosesc mai degraba pentru lucruri simple precum email si acces la retele sociale gen Facebook si Twitter. Halton planuieste sa-si codeze aplicatiile pentru uzul strict intern, spune Kidd.
Potrivit lui Kidd, la un audit de securitate a reiesit ca la Halton exista posibilitatea ca un hacker sa gaseasca o metoda de a se infiltra indiferent de nivelul de securitate.Prin urmare, Halton se concentreaza pe responsabilii cu securitatea la anumite nivele de informatie. „Este o continuitate a afacerii” spune Kidd. „Te pregatesti pentru dezastre.Te pregatesti pentru un “daca” exista un cutremur si cladirea se prabuseste si te pregatesti pentru un “daca” exista o scurgere de informatii.”
Dar Zdiziarski il contrazice afirmand ca exista informatii sensibile transmise pe mail si stocate pe diskul iPhone, care pot fi extrase usor datorita criptarii slabe. Zdiziarski sustine ca depinde de dezvoltatorii de software sa aduca imbunatatiri securitatii pentru ca, Apple are o criptare slaba. „Daca ei se bazeaza doar pe securitatea Apple, atunci aplicatiile lor for fi teribil de nesecurizate”.”Apple poate spune adevarul ca din punct de vedere tehnic iPhone 3GS are criptare inclusa…dar este total nefolositoare in conditiile actuale”.
El a mai adaugat ca optiunea de auto-stergere a memoriei la distanta (remotely) folosind serviciul MobileMe nu este prea utila. Orice posibil hacker inteligent daca pune mana pe un iPhone ii va scoate prima data cartela pentru a preveni stergerea datelor de la distanta – in cazul in care posesorul de drept incearca asta. Optiune similara si la BlackBerry dar cu diferenta ca la acest dispozitiv datele se sterg singure daca telefonul nu a mai fost activ o perioada de timp presetata.
La toate acestea se adauga faptul ca Iphone-ul nu este protejat nici in modul de folosire zilnic – spune John Casasanta, fondatorul companiei Tap Tap Tap. El afirma ca procesul de aprobare Apple a scanarii de cod malicios este supus pericolului. Un progamator poate pacali usor aplicatia sa trimita date personale precum agenda personala in retea, fara ca macar posesorul sa stie. Evident, nu este asa de dificil sa strecori continut neautorizat in App Store. In luna Mai, wired.com a raportat un exploit demonstrat de aplicatia iPhone „App Lyrics”. Apple initial a refuzat aplicatia pentru continut de cuvinte profanatoare. Programatorul a strecurat apoi „profanarea” in aplicatie folosind un „Easter egg”. Apple a aprobat aplicatia.
Zdziarski a adaugat ca mai sunt si alte vulnerabilitati la iPhone: Daca apesi pe tasta Home sau chiar zoom pe display, automat se creaza o captura de ecran care este stocata in memoria iPhone si poate fi accesata mai tarziu. Memoria cache a tastaturii iarasi este vulnerabila. Toate tastele apasate se stocheaza intr-un fisier si pot contine date sensibile precum numarul de card, Pin..etc. Memoria cache poate fi recuperata si din urma schimband data telefonului.
Cu toate acestea Apple a refuzat sa comenteze problemele de securitate ale telefonului dar au spus ca exista o masura de urgenta. In august 2008 Steve Jobs – Apple CEO a confirmat ca exista o aplicatie controlata de la distanta care poate distruge o aplicatie malitioasa instalata in telefon, Apple putand sa dea o comanda de stergere a aplicatiei in telefonul utilizatorului. Nu a existat nici o dovada ca aceasta aplicatie a fost folosita vreodata.
Deci, ce fel de afaceri poti sa faci cu un telefon care nu este foarte sigur? Zdziarski spune ca sunt cateva aplicatii pentru afaceri care au integrata o securitate imbunatatita, dar a avertizat companiile sa fie atente si sa nu investeasca prea multa incredere in noul telefon.
Pentru o demonstratie, urmariti inregistrarea video de mai jos.
