На конференции CanSecWest уделили внимание уязвимостям IOS 7 и не только

Сегодня мобильная безопасность по-прежнему остается сферой, за которую постоянно приходится бороться. Организаторы конференции CanSecWest решили в этот раз привлечь внимание сообщества к недостаткам Android и BlackBerry 10, а также недавно обнаруженной уязвимости шифрования в iOS 7, которая могла поместить iPad и владельцев iPhone в зону опасности. Так, на конференции стало известно, что телефоны, работающие на IOS 7, потенциально подвержены воздействию эксплойтов.

Также во время проведения CanSecWest на прошлой неделе, исследователь Azimuth Security Терджи Мандт сказал, что в Apple сделали большую ошибку, когда приняли решение изменить свой генератор случайных чисел, чтобы сделать шифрования ядра жестче в IOS 7. Ядро является самым основным уровнем операционной системы и контролирует такие вещи, как безопасность, управление файлами, распределение ресурсов. «С точки зрения безопасности, это гораздо хуже, чем IOS 6» —  сказал Мандт. Вскоре после его презентации в среду, в Большом бальном зале в отеле Шератон, он опубликовал свои слайды презентации и в качестве доказательств привел официальный документ.

Среди устойчивых проблем относительно безопасности мобильных устройств, на других презентациях CanSecWest также обратили внимание на недостатки мобильных ОС в Android и BlackBerry 10.

Относительно Apple стоит сказать, что сложный технический процесс сводится к тому, как ОС рассчитывает случайно генерируемые числа, используемые при шифровании данных. Если эти числа можно выяснить каким-то образом, тогда их случайность уже не будет иметь значения, при этом ядро является главным ключом к контролю за компьютером, или же, в этом случае, к смартфону или планшету. В Apple признали, что метод производства случайных чисел в IOS 6 мог быть изменен к лучшему.

«Проблема с новым генератором в IOS 7 заключается том, что он использует алгоритм линейной рекурсии» — рассказал Мандт. Он характеризуется «большим уровнем корреляции» между значениями, которые им генерируются, что делает их более удобными для экстраполяции. Это означает, что любому, кто сможет найти необнаруженную ранее уязвимость в IOS 7, удастся получить доступ на уровне ядра. Apple, насколько известно, относится к этому недостатку серьезно, но пока никак не прокомментировала данный факт. 

Источник: news.cnet.com