Posible vulnerabilidad DDoS en iPhone

iphone_apple_01.jpg

El blogger del McAfee Avert Labs Jimmy Shah ha identificado una vulnerabilidad de Denegación de Servicio (DDoS) en el navegador Safari del iPhone, y lo ha explicado en un post de su blog.

“Los investigadores que encontraron la vulnerabilidad estaban buscando un método para desbloquear el sistema de ficheros en iPhones con el firmware 1.1.3. El desbloqueo del sistema de archivos permite la instalación de tonos personales y aplicaciones de terceros. Con la última versión de firmware puedes desbloquear automáticamente tu iPhone visitanto una página concreta con el navegador móvil Safari”

La vulnerabilidad DDoS puede explotarse visitando la página de “prueba de concepto” y haciendo clic en  un botón que lanzaría un aviso y el códido exploit se ejecuta. A partir de ese momento el iPhone se atasca hasta que se reinicia algo mas de un minuto después.

El bug del exploit DDoS está basado parcialmente en un código JavaScript del Mes de los Bugs en Navegadores (MOBB). Durante el MOBB un grupo de investigadores de seguridad sacaron un exploit para navegadores cada día. Aunque la versión original del exploit estaba dirigida a navegadores de escritorio la versión modificada trata de rellenar la memoria y atascar el teléfono”

El fallo solo te impide usar el iPhone temporalmente y no roba datos ni daña permanentemente el iPhone. La prueba de concepto requiere la interacción del usuario al pedirle que presione el botón “GO” que aparece, no obstante, algún sitio con malas intenciones podría ejecutar el código sin permiso, al menos eso es lo que claman”

avertblogblogid567-fig2.png

A pesar de ello, hay dos modos principales de evitar esta “teórica” prueba de concepto de vulnerabilidad DoS, a saber:

  • Inhabilitar JavaScript en el iPhone
  • Solo aceptar aquello de lo que estés seguro

En el fondo, como se suele demostrar, y mas en sistemas operativos seguros como OS X, el mayor virus está entre el teclado y la silla, y se aplica tanto a esta “prueba de concepto” como a todas las demás planteadas para Mac, que como ya sabrás … no tiene virus ;)

Sitio oficial | McAfee Avert Labs
Vía | ChannelWeb

1 Comentario

Comments are closed.