מודל ההגנה של ענקית הטכנולוגיה מת סופית? פחות משבוע לאחר שנחשפה פרצת ענק במכשירי האייפון שהדביקה עשרות אלפי מכשירים בעולם באמצעות חיבור USB, חשפה אמש (שני) חברת אבטחת המידע FireEye - שנחשבת לאחת מחברות אבטחת המידע החשובות בעולם - פרצה מסוכנת נוספת במערכות ההגנה של מכשירי האייפון שמאפשרת התקנת תוכנות זדוניות.
הפרצה נמצאה במערכת אימות האפליקציות, כאשר חלק מבעלי האייפונים בעיקר מפתחים וחברות גדולות יכולים לאפשר התקנת יישומים ישירות משרתי החברה או המפתח ללא צורך בהעלאת האפליקציה לחנות הAppStore - בצורה דומה לנהוג במכשירים המריצים את מערכת ההפעלה אנדרואיד של המתחרה הגדולה גוגל.
אלא, שפרצה חמורה במערכת האימות של האפליקציות בודקת רק את מה שמכונה "מזהה החבילה" - מעין קוד אוניברסלי שניתן לכל אפליקציה. אישורי האבטחה של האפליקציות אינם נבדקים כלל במערכת ההפעלה.
בעקבות כך, האקר שיחפוץ להתקין אפליקציית ריגול במכשיר אייפון יוכל לזייף את מספר החבילה בקלות רבה מאחר ומערכת זו אינה דורשת אימות נוסף, ועל ידי כך להתחזות לאפליקציות לגיטימיות לגמרי.
כך למשל יכול ההאקר להתחזות לאפליקציית הדואר האלקטרוני או אפליקציית ניהול הבנק שלהם כשהוא יקבע את מספר החבילה כאותו מספר של האפליקציה הלגיטימית. בפועל, כל המידע שתזינו לתוך האפליקציות המזויפות, יעבור ישירות לתוקף. זאת כאשר מערכת ההפעלה תמשיך לזהות את התוכנה הזדונית כאפליקציה לגיטימית.
הפורצים יוכלו להפיץ את האפליקציות המתחזות על ידי שימוש בקישורים שנשלחים לקרבנות בהודעות טקסט, כמו גם הפצת לינקים ברשת האינטרנט.
הפתרון לעת עתה הוא להתרחק מלינקים שקיבלתם ממקורות שאינם מוכרים ולא להתקין אפליקציות כשאינכם בטוחים במאת האחוזים מה מקורן.
למרות העובדה שהפרצה החמורה תתוקן קרוב לוודאי כבר בימים הקרובים, פרצת האבטחה הנוכחית - כמו גם הפרצה שנחשפה בשבוע שעבר - מוכיחות יותר מכל כי לא קיימת מערכת החסינה מפני האקרים, וכי תמיד מומלץ להתרחק מלינקים ומהורדות שמגיעים ממקורות שאינם ברורים לגמרי.