Nors iPhone’as dar tik pirmą sykį įkvėpė, saugumo tyrėjai jau privertė jį iškosėti pirmus „vabaliukus”.
Trumpai tariant, saugumo spragos, teorinės ar kokios kitos, yra tai, ka bent viena Safari naršyklės spraga, žinota jau prieš įtaiso išleidimą, tebėra telefone ir tai, kad bet kas gali perklausyti naudotojo balso paštą, nes suklastoti skambintojo ID AT&T/Cingular tarnyboje labai lengva.
Errata Security darbuotojas Robert’as Graham’as liepos pirmąją sakė, kad išlaukusi visą dieną, kol iPhone’as bus aktyvuotas, saugumo firma atrado spragą per kelias minutes — nors ji žinojo apie šią spragą jau ir anksčiau, nes tai buvo viena iš kelių, kurias kompanija buvo radusi Safari naršyklėje. Dave’as Maynor’as (Errata darbuotojas) rado daug spragų Safari, skirtos Windows’ams, beta versijoje, kai ji buvo išleista birželio 11-ą — mažiausiai viena jų gali būti panaudota piktam.
Errata nustatė, kad jų Bluetooth elektroninio triukšmo generatorius užstrigdino iPhone — tai būsimų spragų ženklas, kai firma išsiaiškins strigimo priežastis. Errata neperduos nei vieno šių pažeidžiamumų detalių Apple kompanijai, kol nebus paskelbti „priimtini pažeidžiamumų pašalinimo būdai” sakė Graham’as.
Errata savo blog’e pateikia klausimų, į kuriuos norėtų sulaukti atsakymų, sąrašą:
– Kurie įtaiso portai yra klausomi?
– Prie kokių tarnybų jis prisijungia automatiškai? (panašu, jis automatiškai prisijungia prie žinomų prieigos taškų)
– Kokie procesoriai naudojami įtaise? Samsung? XScale? (vert. past. šis klausimas jau išaiškintas – naudojami Samsung firmos ARM architektūros procesoriai)
– Ar įtaisuose naudojama MMU ?
– Ar viskas veikia pagrindinio vartotojo (root) paskyra?
– Ar sunku bus priversti veikti jtag sąsają šiame įtaise?
– Ar bus galima gauti prieigą ir neturint gerų žinių (pvz. per Java’os skirtos QuickTime’ui spragą, leidžiančią pateikti visą atminties turinį ekrane)?
Ir dar yra galimybė suklastoti Skambintojo ID ir taip išnaudoti balso pašto pažeidžiamumą Cingular tarnyboje. Saugumo ekspertas Nitesh’as Dhanjani’is pirmą kartą apie tai rašė dar pernai vasarį. Dhanjani’is sako, kad iPhone tebėra pažeidžiamas šios spragos.
Skambintojo ID suklastojimui užtenka nusipirkti kortelę iš Spoof Card tarnybos, leidžiančios skambintojui pakeisti tai, ką skambučio gavėjas mato ekrane.
Dhanjani’is sakė, kad jei galite išklausyti balso pašto su iPhone (ar kitu Cingular telefonu) be slaptažodžio pateikimo, esate pažeidžiamas. AT&T/Cingular kol kas jokių komentarų šia tema nepateikė.
Saugumo ekspertai žada, kad dar bus ir daugiau iPhone riktų (bugs), kai jie turės galimybę panaudoti prieš įtaisą elektroninio triukšmo generatorius (fuzzer) ir išnagrinės rezultatus.
Bet ar šie saugumo riktai (bugs) pakankamai rimti, kad priverstų juos laikytis atokiau nuo iPhone’o? Ne. Jie myli jį.
Nežiūrint įtemptų Errata’os ir Apple santykių, nežiūrint mažiausiai vieno Safari naršyklės pažeidžiamumo, Graham’as sakė, kad Errata visvien laiko iPhone’ą „nepalyginamai saugesniu nei kiti išmanieji telefonai, kaip Windows Mobile ar Symbian”.
Tačiau, sakė Graham’as, netgi su geresniu (teoriškai) saugumu, nei Windows, iPhone’ai taps didesniu taikiniu, nes Mac OS X saugumo profilis yra geriau žinomas, nei Windows Mobile ar Symbian.
Reikės ištaisyti daugiau riktų (bugs) dėl padidėjusio hakerių dėmesio, pridūrė jis.