Nye iPhone kan kapres i WLAN

Apple ser ut til å ha falt i fellen og ofret sikkerhet for brukervennlighet.

To sikkerhetskyndige, Lothar Gramelspacher og Max Moser, har avdekket risikoatferd til versjon 3.0 av iPhones operativsystem i trådløse lokalnett.

Når en iPhone merker et WLAN, ber den nettet om å få kontakt med en nettside hos Apple. Får den kontakt, antar den at alt er i orden. Får den ingen respons overhode, antar den at WLAN-et er uten internettforbindelse.

Problemet oppstår når den får en annen type respons. Da antar WLAN-rutinen på iPhone at den befinner seg i en portal der brukeren blir bedt om å autentisere seg for å få tilgang til nettet. Dette er typisk for WLAN-soner i hoteller, kafeer og flyplasser.

iPhone svarer da ved automatisk å åpne sin nettleser. Tanken bak dette er at brukeren kan oppgi brukernavn og passord med mer.

Ifølge Moser og Gramelspacher gjør dette iPhone tilgjengelig for et fritt tilgjengelig penetrasjonsverktøy kalt Karmetasploit.

Det innebærer at kriminelle kan sette opp et WLAN, innlemme iPhoner i det trådløse nettet etter hvert som de kommer innen rekkevidde, og utnytte sårbarheter i nettleseren Safari eller annen iPhone-programvare til å fange opp følsomme opplysninger.

Moser forklarer på sin blogg at Apple har falt i den kjente fellen der sikkerhet ofres til fordel for brukervennlighet. Han mener WLAN-vennligheten i iPhone må endres for å verne om brukernes sikkerhet.

Moser har lagt inn en video som viser hvordan en iPhone kan kapres når den kommer inn i et ondsinnet WLAN.

Apple kan la seg inspirere av andre systemer, for eksempel Windows Mobile. Hvis WLAN-funksjonen er slått på, vil mobiltelefonen varsle hver gang den oppfatter et trådløst lokalnett. For å kople seg til nettet må brukeren gjøre aktive valg.

    Les også:

Til toppen