Look, No Hands! -- The Remote, Interaction-less Attack Surface of the iPhone
Apple chỉ còn hơn một ngày để vá lỗi trong phần mềm iPhone của nó, có thể cho phép tin tặc chiếm lấy iPhone, chỉ bằng cách gửi đi và tin nhắn SMS (Dịch vụ tin nhắn ngắn). được phát hiện bởi hacker của iPhone, Charlie Miller, người đầu tiên nói về vấn đề này tại hội nghị SyScan ở Singapore. Vào thời điểm đó, anh nói anh đã phát hiện ra một cách để phá hỏng iPhone thông qua tin nhắn SMS, và anh nghĩ rằng vụ tai nạn cuối cùng có thể dẫn đến mã tấn công.
Kể từ đó, anh ta đang làm việc chăm chỉ, và giờ anh ta nói anh ta có thể tiếp quản iPhone với hàng loạt tin nhắn SMS độc hại. Trong một cuộc phỏng vấn hôm thứ ba, Miller cho biết ông sẽ cho biết làm thế nào điều này có thể được thực hiện trong một bài thuyết trình tại hội nghị an ninh Black Hat ở Las Vegas hôm thứ Năm này với nhà nghiên cứu bảo mật Collin Mulliner. "SMS" là một tấn công đáng kinh ngạc cho điện thoại di động, "MIller, một nhà phân tích của Independent Security Evaluators cho biết. "Tất cả những gì tôi cần là số điện thoại của bạn. Tôi không cần bạn bấm vào một liên kết hay bất cứ thứ gì."
Miller báo cáo lỗ hổng cho Apple khoảng 6 tuần trước, nhưng nhà sản xuất iPhone vẫn chưa phát hành bản vá cho vấn đề này. Đại diện của Apple không thể đạt được bình luận, nhưng công ty thường giữ im lặng về lỗi phần mềm cho đến khi nó phát hành một bản vá.
Nếu nó phát hành một bản vá trước Black Hat, Apple sẽ không đơn độc. Microsoft đã phải tranh giành để đưa ra một sửa chữa khẩn cấp cho một vấn đề trong Thư viện mẫu hoạt động (ATL), được sử dụng để xây dựng các điều khiển ActiveX. Bản vá "out-of-cycle" đã được phát hành hôm thứ Ba, trước một bài trình bày khác của Black Hat về lỗ hổng cụ thể đó.Cuộc tấn công của Miller không thực sự bật lên shellcode - kẻ tấn công phần mềm cơ bản sử dụng như một bước đệm để khởi động các chương trình riêng trên máy bị tấn công - nhưng nó cho phép anh ta kiểm soát các hướng dẫn nằm trong bộ xử lý của điện thoại. Với một số công việc khác, ai đó có thể khai thác và chạy shellcode, Miller nói.
Mặc dù nó là một công nghệ cũ, SMS đang nổi lên trong một lĩnh vực nghiên cứu bảo mật đầy hứa hẹn, khi các nhà nghiên cứu bảo mật sử dụng khả năng tính toán mạnh mẽ của iPhone và Android của Google Để xem xét kỹ hơn cách thức hoạt động của nó trên các mạng di động.
Vào thứ Năm, hai nhà nghiên cứu khác, Zane Lackey và Luis Miras, sẽ cho biết cách họ có thể giả mạo các tin nhắn SMS thường được gửi bởi các máy chủ trên mạng di động. Kiểu tấn công này có thể được sử dụng để thay đổi cài đặt điện thoại của ai đó, đơn giản bằng cách gửi tin nhắn SMS cho họ.
Miller tin rằng có nhiều tin nhắn SMS hơn, và để giúp họ tìm ra, anh và Mulliner đã phát triển một tin nhắn SMS "Công cụ, có thể được sử dụng để đóng một thiết bị di động với hàng ngàn tin nhắn SMS mà không thực sự gửi tin nhắn qua mạng không dây (một nỗ lực tốn kém).
Công cụ mà anh gọi là Injector, chạy trên hệ điều hành iPhone, Điện thoại di động Android và Windows Mobile.
Công cụ tự chèn chính nó giữa bộ xử lý máy tính của điện thoại và modem và làm cho nó trông giống như các tin nhắn SMS thực sự đi qua modem, khi chúng thực sự được tạo bởi điện thoại.
Một nhóm nhà cung cấp dẫn đầu bởi Microsoft và nhằm tăng cường khả năng tương tác giữa các định dạng tài liệu khác nhau đã tiết lộ một số công cụ để giúp người dịch giữa các tài liệu được tạo trong Open XML và các tài liệu sử dụng các định dạng tệp tin khác. cuộc họp của Sáng kiến Hợp tác Tài liệu (DII) tại Brussels tuần này, Microsoft và các nhà lãnh đạo ngành công nghiệp khác đã công bố ba công cụ để dịch các tài liệu trong Open XML, tiêu chuẩn ngành được Tổ chức Tiêu chuẩn Quốc tế (ISO) phê
Các công cụ mới được vạch ra trong một bài đăng trên blog của Peter Galli, quản lý cộng đồng nguồn mở cao cấp của Microsoft
Dự luật và Quỹ Melinda Gates đã tài trợ gần 7 triệu đô la Mỹ để tài trợ cho một chương trình thí điểm nhằm giúp các thư viện công ở bảy bang có kết nối Internet nhanh hơn, nền tảng đã công bố hôm thứ Năm. về việc đưa băng thông rộng đến các khu vực không được phục vụ và tới Văn phòng Hiệp hội Thư viện của Mỹ về Chính sách Công nghệ Thông tin (OITP). Các khoản tài trợ sẽ hỗ trợ các kết nối Internet cải tiến cho các thư viện công cộng ở Arkansas, California, Kansas, Massachusetts, New York, Texas
Chương trình thí điểm sẽ giúp các thư viện "cải thiện tốc độ Internet của họ, đảm bảo rằng mọi người đều có cơ hội kết nối thông tin, giáo dục và cơ hội kinh tế, "Jill Nishi, phó giám đốc thư viện Mỹ tại Quỹ Gates, cho biết trong một tuyên bố. "Các thư viện công cộng trên toàn quốc đã đóng vai trò không thể thiếu trong việc chấm dứt phân chia kỹ thuật số cho hàng triệu người Mỹ, nhưng chính quyền địa phương, cộng đồng và những người ủng hộ thư viện phải làm nhiều hơn nữa để đảm bảo thư viện có t
Trong các cuộc tấn công được phân tích bởi FireEye, được sử dụng để tải xuống và cài đặt công cụ truy cập từ xa (RAT) được gọi là McRAT. Loại phần mềm độc hại này thường được sử dụng trong các cuộc tấn công được nhắm mục tiêu, nhưng FireEye không tiết lộ bất kỳ thông tin nào về những người đang được nhắm mục tiêu.
[ĐọC thêm: Cách xóa phần mềm độc hại khỏi PC Windows]