Researchers has discovered SMS security flaw of different phones during the conference. And, one of them is the iPhone. There is no way to prevent it since SMS will be pushed to the phone automatically. UK iPhone operator O2 said the fix by Apple will be available on Saturday. That means it could be available within 24 hours. Thank God we don’t have to worry about SMS anymore. But, there is no schedule nor announcements of the patch for Windows Mobile and Android.

[via BBC]

winandmac.com

รายงานข่าวล่าสุด สองนักวิจัยเผยค้นพบช่องโหว่ของฟังก์ชันการส่งข้อความ SMS บน iPhone ที่เสี่ยงต่อการถูกแฮคเข้าไปควบคุมการทำงานของระบบได้
โดยการเปิดเผย ครั้งนี้ เกิดขึ้นในงานประชุมสัมนาในหัวข้อเกียวกับระบบรักษาความปลอดภัยในโลกไซเบอร์ ทีมีชือว่า Black Hat ซึ่งจัดขึ้นในลาสเวกัส
ประเทศสหรัฐอเมริกา

Charlie Miller และ Colin Mulliner ผู้เชี่ยวชาญระบบรักษาความปลอดภัยพบช่องโหว่ในวิธีจัดการของ iPhone กับการส่งข้อความ SMS
ซึ่งเปิดโอกาสให้แฮคเกอร์สามารถเข้าควบคุมการทำงานของมือถือ iPhone ได้อย่างสมบูรณ์ โดยการแฮคจะมาในรูปของการกระหน่ำส่งข้อความ SMS
ที่ประกอบด้วยตัว”อักษรสีเหลี่ยมจัตุรัส”เพียงตัวเดียว!!!

หลังจากที่เจาะเข้าไปใน iPhone ได้แล้ว แฮคเกอร์จะสามารถควบคุมการหมุนหมายเลขของมือถือ การเยี่ยมชมเว็บไซต์ต่างๆ ตลอดจนกล้องของ iPhone
แถมยังสามารถส่ง ข้อความ SMS อันตรายไปยังเจ้าของ iPhone รายอื่นๆ เพื่อเข้าควบคุมเครื่องในลักษณะเดียวกันได้อีกด้วย Miller กล่าวว่า “ช่องโหว่นี้ถือว่า
ซีเรียสมาก เพราะวิธีเดียวที่คุณจะป้องกันได้คือ ปิดมือถือ iPhone ของคุณซะ เพราะอาจมีใครบางคนสามรถเข้าควบคุม iPhone ทุกเครื่องทั่วโลกได้อย่างรวดเร็วด้วยวิธีนี้

มิลเลอร์ยังกล่าวอีก ด้วยว่า “ในโลกของธุรกิจ ช่องโหว่นี้มีมูลค่า (ในทางมิชอบ) เพราะถ้าหากคุณสามารถยับยั้งการตัดสินใจ หรือการรับสายของคู่แข่งได้
สำหรับช่องโหว่ของระบบรักษาความปลอดภัยบนมือถือเป็นเรื่องใหญ่ ซึ่งไม่มีทางที่จะปิดมันเป็นความลับนี้ได้”

เขา ยังอ้างอีกด้วยว่า ได้แจ้งให้ Apple ทราบเกี่ยวกับข้อผิดพลาดดังกล่าวเป็นเวลาเดือนกว่าแล้ว แต่ทางบริษัทยังไม่ได้ออกแพตช์ เพื่ออุดช่องโหว่การโจมตี
ในลักษณะดัง กล่าวแต่อย่างใด ทั้งสองยังเปิดเผยอีกด้วยว่า ช่องโหว่ดังกล่าวสามารถใช้ได้กับมือถือทีทำงานด้วยระบบปฏิบัติการ Android และ Windows Mobile
ด้วย

Credit : เอ.อาร์.ไอ.พี, nongnoi

A security expert said iPhone has a serious SMS security exploit. Hacker can use it to detect the iPhone location using the GPS. Phone conversations and SMS may be tracked. Apple has the plan to fix it later this month. How the hackers can use the exploit is not exposed to the public. Come on, hackers. Track my stupid SMS log, now.

Tipped off by a Mac OS X security expert, Apple is working to repair a serious security flaw in the iPhone’s operating system – one that could allow an attacker to track the phone’s location via GPS, eavesdrop on conversations via the microphone, or create a mobile bot net capable of unleashing denial of service attacks.

The attack takes advantage of a vulnerability in the phone’s short messaging service, or SMS, feature, allowing an outside party into the phone’s root access without the owner’s knowledge. Security researcher Charles Miller, co-author of The Mac Hacker’s Handbook, announced his discovery Thursday at the SyScan Conference in Singapore, according to Computerworld.

Apple plans to have the fix released later this month, before Miller gives his scheduled speech at the Black Hat Technical Security Conference in Los Angeles. At the July 25-30 conference, Miller will be joined by Colin Mulliner for a talk entitled “Fuzzing the Phone in Your Phone,” which will show attendees how to discover vulnerabilities in a variety of smartphones.

Miller has not specifically detailed how the SMS exploit is done, citing an agreement with Apple. But he will discuss the attack in length at the Black Hat conference.

The exploit takes advantage of the fact that SMS can send binary code to an iPhone. That code is automatically processed without user interaction, and can be compiled from multiple messages, allowing larger programs to be sent to a phone.

For a widely-adopted platform, Apple’s iPhone has had remarkably little in the way of discovered vulnerabilities in its short history. In 2007, a security firm – including Miller – notified Apple of the phone’s first security flaw, soon after the hardware had been released. It was subsequently fixed by Apple.

Miller said that the iPhone’s stripped-down version of OS X makes it more secure than the full-fledged operating system. And because it lacks support for Adobe Flash and Java, isolates individual applications from one another, and only allows software that has been digitally signed by Apple, it is less likely to have security flaws than a full-form computer.