Tags: Mobile, Segurança

Essa notícia é curiosa, porque o comportamento descrito (conectar o Iphone ao computador com Ubuntu 10.04 via USB e ter acesso imediato ao conteúdo armazenado nele, como se fosse um disco externo e sem autenticação) parece muito natural – mas o comportamento esperado pelos desenvolvedores (e presente em outros sistemas e distribuições testadas) é bem diferente disso: só a pasta DCIM (com fotos e vídeos gravados no aparelho) deveria ser visível, e o restante do conteúdo deveria ser exposto apenas via outras interfaces, e com proteção via PIN do usuário.

Aos leitores com interesse técnico no assunto, sugiro atenção ao detalhamento (e às atualizações) ao final do post que revelou a situação, descrevendo onde foi observada (só com IPhone 3GS – mesmo sem jailbreak, e só no Ubuntu 10.04), e as duas respostas da Apple: a primeira negando, a segunda confirmando a situação.

Ter dados num celular ou dispositivo móvel e assumir que eles estarão resguardados pelo PIN não me parece uma expectativa razoável, mas isso não é desculpa para o modelo de segurança do aparelho ser tão permeável.

Mais detalhes na ZDNet e na nota do iG Tecnologia, da qual segue trecho:

Especialistas em segurança descobriram que o Ubuntu “Lucid Lynx” 10.04 é capaz de enxergar e alterar informações pessoais de aparelhos iPhone, apesar da proteção dos códigos PIN. Os testes envolveram o modelo 3GS atualizado e outros com diversas versões do sistema operacional da Apple.

Segundo o site ZDNet, os geeks Bernd Marienfeldt e Jim Herbeck descobriram uma vulnerabilidade no iPhone que permite aos usuários da distribuição Lucid Lynx 10.04 do Ubuntu acesso de leitura e escrita de dados que teoricamente deveriam estar protegidos, sem qualquer pedido do código PIN.

Em seu blog, Marienfeldt explica que essa falha expõe de forma simples músicas, fotos, vídeos, gravações de voz, conteúdo de jogos, dados de navegação Google, entre outras informações pessoais.

“Eu pude reproduzir os testes em três outros iPhone 3GS, bloqueados (sem aplicação de Jail-Break) com diferentes versões do iPhone OS instalados, montando as unidades para acessar seu conteúdo, de forma automática e nenhuma requisição de código PIN foi feita.” – afirmou o especialista. (via tecnologia.ig.com.br)