![]()
אמש (ב’) החלה אפל לשלוח את עדכון iOS 7.1 לכלל המשתמשים במכשירי האייפון, האייפד והאייפוד טאצ’ התומכים במערכת ההפעלה החדשה. העדכון החדש, שנבחן במשך מספר חודשים, הציג שינויים רבים, אולם שינוי מהותי אחד יכול ויהיה הסיבה הטובה ביותר לעדכן את המכשירים לגרסה החדשה, שכן הוא פותר כשל אבטחה היכול לאפשר לגורמים עויינים לקבל גישה למכשיר ודרכו לחשבונות הפייסבוק, המייל ועוד.
כשל האבטחה, כפי שחשף מייסד חברת האבטחה Skycure, יאיר עמית, דרך פוסט בבלוג החברה בסוף החודש הקודם, מאפשר לגורמים זדוניים להתקין פרופילי משתמש שיאפשרו גישה למידע במכשיר. בשנה שעברה הדגימו בחברת Skycure בפני צוות גאדג’טי כיצד ניתן לבצע השתלטות בקלות על המידע במכשיר ודרכו אף הצליחו להשתלט על חשבון הפייסבוק האישי שלי ולפרסם סטטוסים, זאת מבלי שידעו את הסיסמה לחשבון.
התגלית החדשה של Skycure נחשפה עוד בספטמבר 2013 על-ידי אסף חפץ, חוקר בכיר ב-Skycure, שמצא דרך להשתיל פרופיל משתמש “בלתי נראה”, זה לא יופיע ברשימת הפרופילים במכשירים מבוססי iOS ויוכל לעשות את עבודתו מבלי שהמשתמש ידע שהתקין על המכשיר פרופיל זדוני.
לאחר שחרור גרסת iOS 7.1, חשף בפנינו עמית כיצד בדיוק עבד הפרופיל הבלתי נראה:
“גילינו שניתן לייצר פרופילים בצורה מיוחדת, כך שברגע שהם מותקנים על המכשיר, ״אין להם זכר״ יותר מבחינה ויזואלית (או דרך שאילתות MDM) – דבר אשר מאפשר תקיפות הרבה יותר אפקטיביות”.
על כשל אבטחתי זה דיווחה Skycure לאפל בספטמבר האחרון, מאז עבדו שתי החברות על פתרון לבעיה, זה הוצג לבסוף בעדכון ששיחררה אמש אפל עבור כלל משתמשיה. אפל ציינה את שמה של Skycure ברשימת התיקונים הרשמית שבוצעה ב-iOS 7.1 ולאחר שחרור העדכון אישר בפנינו עמית את העבודה המשותפת שהציגה את הפתרון לבעיית הפרופיל הבלתי נראה.