Украли iPhone? Срочно меняйте все пароли!
14 февраля 2011 г.Кража iPhone или iPad может повлечь за собой гораздо большие неприятности, чем думают многие владельцы смартфонов и планшетников. Двое сотрудников немецкого Института безопасных информационных технологий Fraunhofer-SIT задались вопросом: насколько сложно получить доступ к логинам, пин-кодам и паролям, хранящимися в базе данных системы iOS 4.2.1? В ходе эксперимента выяснилось: сделать это может любой продвинутый пользователь, причем - за считанные минуты.
Пароль для смартфона знать не обязательно
Благодаря функции "keychain" ("связка ключей") владелец iPhone может хранить секретные личные данные в зашифрованном виде в одном месте операционной системы. Это очень удобно, поскольку избавляет от необходимости каждый раз вводить логины и пароли для доступа к почтовому серверу, WiFi или ПО совместной работы. И, на первый взгляд, безопасно: ведь доступ к смартфону защищен паролем. Однако, как показал эксперимент, одно с другим никак не связано.
Дабы не создавать соблазна для мошенников, программисты Йенс Хайдер (Jens Heider) и Матиас Боль (Matthias Boll) не стали подробно описывать алгоритм взлома, а лишь поделились основными шагами. Шаг первый - получение доступа к файловой системе посредством джейлбрейка. Эта кустарная операция изначально была придумана для установки на аппаратах Apple "неродных" приложений. Причем авторы эксперимента воспользовались пакетом OpenSSH, который можно скачать из Сети бесплатно.
Следующий шаг - копирование скрипта для доступа к "связке ключей" с использованием протокола SSH. После запуска скрипта на экране появляются все найденные аккаунты, которые удалось обнаружить с помощью этой операции. При этом для расшифровки паролей используются функции операционной системы смартфона. Для пущей убедительности сотрудники Fraunhofer-SIT опубликовали на сайте YouTube видеозапись с основными этапами эксперимента.
Необходим механизм оповещения
Хайдеру и Болю удалось расшифровать пароли примерно половины обнаруженных аккаунтов, среди них - доступ к почтовому серверу, пароли для iChat, Voicemail, WiFi и даже для удаленного подключения к корпоративному серверу (VPN-соединение). Взломать пароли к профилям веб-сервисов, как, например, Facebook, в ходе эксперимента не удалось. Однако, получив доступ к электронной почте, можно легко поменять пароли для большинства веб-служб.
Таким образом, утрата iPhone или iPad может обернуться взломом и тех аккаунтов, пароли к которым не хранятся в "связке ключей". Поэтому, в случае утери или кражи аппарата, сотрудники Fraunhofer-SIT советуют как можно скорее поменять все возможные пароли, а также немедленно известить администратора корпоративной сети, чтобы тот изменил код доступа к серверу.
Владельцам фирм, в свою очередь, следует задуматься над механизмом реагирования на кражу корпоративных смартфонов. Во-первых, для того, чтобы оперативно заблокировать доступ мошенников к серверам. Во-вторых, чтобы быстро оповестить других сотрудников, если для WiFi- или VPN-доступа использовался единый пароль.
Авторы эксперимента подчеркивают: недостаточная защищенность паролей - проблема не только смартфонов и планшетников производства Apple. Однако благодаря функции шифрования паролей приборы с системой iOS считаются практически неуязвимыми. Сотрудники Fraunhofer-SIT надеются, что демонстративный взлом iPhone заставит их владельцев всерьез задуматься над защитой данных.
Автор: Татьяна Петренко
Редактор: Геннадий Темненков