Chytré telefony a tablety se dostávají do hledáčku kyberzločinců stále častěji. Počítačoví piráti využívají toho, že zabezpečení mobilních zařízení lidé velmi často podceňují. Zatímco na klasických počítačích je antivirus dnes již samozřejmostí, stejně jako stahování bezpečnostních aktualizací, na smartphonech a tabletech to dělá málokdo.

Právě takové jednání nahrává hackerům, kteří dovedou zotročit mobilní zařízení na dálku. A pak si s ním mohou dělat, co chtějí. Dokonce se dostanou i k datům, která by uživatele pravděpodobně nenapadla – jako jsou například smazané fotografie.

Přesně to totiž dokázalo hackerské duo vystupující pod jménem @fluoroacetate. Etičtí hackeři Richard Zhu a Amat Cama přišli na způsob, jak získat přístup k jednomu nebo více smazaným souborům v prostředí operačního systému iOS. Svůj um demonstrovali na iPhonu, ale stejně tak může být tato technika zneužitelná na iPadu.

I smazané soubory představují riziko

Hackerům se podařilo během soutěžního klání získat přístup k fotografii z adresáře „Nedávno smazané“. V něm jablečná zařízení uchovávají několik týdnů smazané momentky a videa pro případ, že by je chtěl uživatel obnovit.

Bezpečnostní expert Patrick Müller ze společnosti Sophos poukazuje na fakt, že „smazané, ale dosud nepřepsané soubory“ představují už několik let kybernetické riziko pro většinu desktopových operačních systémů. „Uživatelé, ale také útočníci se mohou přihlásit jako administrátor a vydolovat zbytková data přímo na úrovni počítačového disku,“ prohlásil.

Hackeři ukázali způsob, jak mohou být smazané fotky obnovené pouze v rámci soutěže. To však nemění nic na tom, že stejnou techniku může internetové podsvětí použít také při reálných útocích.

Chyba v prohlížeči Safari

Zhu a Cama použili k získání smazaných fotek chyby v prohlížeči Safari, pomocí kterých obelstili iOS tak, že jim umožnil přístup k obsahu, jenž neměl být přístupný. „Riziko chyb prohlížečů tohoto typu spočívá v tom, že mohou být spuštěny škodlivými webovými stránkami, a jsou tak obecně vzdáleně využitelné – stačí vaši oběť zlákat, aby se podívala na webovou stránku, aniž byste ji museli přimět ke stažení souboru, změně některých nastavení a poté i jeho spuštění,” upozornil Müller.

Podle něj není pravděpodobné, že by hackeři začali tento typ útoku masivně využívat. Přesto se mohou uživatelé relativně snadno bránit, stačí fotografie smazat z mezipaměti. „V seznamu alb najdete album s názvem Nedávno smazané, což je jakési krátkodobé předpeklí pro fotografie, které už nechcete. Jejich definitivní smazání z alba Nedávno smazané je už neumožní obnovit, a to ani za použití nového hacku dua @fluoroacetate,“ uzavřel bezpečnostní expert.

Za objevení bezpečnostní chyby a způsobu, jak se dostat ke smazaným fotografiím, vyhrálo hackerské duo @fluoroacetate v soutěži Pwn2Own 60 000 dolarů, tedy v přepočtu bezmála 1,4 milionu korun.