Il faut croire que les ptits iphones aime pas les compositions, en effet un coktail sympathique vient d'être découvert: jailbreak+hack pour activer le push+AIM= broadcast général :).
c'est ce qu'a découvert un développeur allemand, quand quelqu'un lui a gentiment expliqué qu'il avait reçu un message qui ne lui était pas du tout destiné. Ainsi, ce serait une histoire d'ID de l'iphone utilisé par le programme (à savoir l'un des hacks installe le même pour tout le monde-> EPIC FAIL).
pour expliquer un peu plus:
jailbreaker un iphone est le fait de modifier le tel pour qu'il ne soit plus "verrouillé" et exploiter pleinement le téléphone, cela se traduit aussi par la possibilité d'installer des applications sans passer par l'appstore.
pour les iphones jailbreakés, il existe plusieurs petits hacks pour activer les notifications en push sur le téléphone. il semblerait donc que les iphones ayant un des hacks ont tous le meme ID et par conséquent ne sont pas différenciés par le service apple push.
Au final un message envoyé via instant messaging à quelqu'un possédant un Iphone jailbreaké+push sera diffusé à toutes les personnes qui ont elles aussi jailbreaké leur tel et activé les notifications en push via ces hacks. Voila un bon moyen de lancer des rumeurs à la con (ou de spammer en utilisant les ressources du apple's push service ).
heureusement que l'IM ne relève pas de la communication privée (ah si on me dit?! mince alors...)
bref c'est ici que ca se passe pour ceux qu'ont rien contre la langue de Shakespeare.
ceci dit si le deliver se fait juste sur la base d'un ID c'est plutot weak de la part d'apple....
[EDIT: puisque apparemment, et bien que détaillée, la nuance n'a pas été perçue je vais insister sur un point: j'ai bien parlé de téléphones jailbreakés, le fonctionnement est donc détourné et il n'est pas directement imputable à apple que des téléphones hors des conditions d'usages rencontrent des problèmes.
Toutefois, et compte tenu de la qualité habituelle des services d'Apple, si le deliver ne se fait que sur la base d'un ID modifiable par un simple programme, ca reste critique et décevant. La portée de cet incident est plus grande qu'il n'y parait car si plusieurs personnes ont eu le meme identifiant, c'est aussi possible d'avoir un programme qui permette de fixer son id sur l'identifiant de quelqu'un d'autre. Quid du delivery dans ce cas? si l'on peut de cette manière obtenir les messages d'autres personnes, il y a vraiment un problème...]
Inscription à :
Publier les commentaires (Atom)
C'est vrai que sur MSN ou tout autre système de messagerie/push l'envoie du message ne se base pas sur l'identifiant unique de l'utilisateur, mais vérifie à chaque fois que le message est bien envoyé à la bonne personne en lui demandant le nom de son poisson rouge (bubulle).
RépondreSupprimerBien que ton aversion pour le terminal à la pomme me soit connu, pourquoi cette dernière phrase assassine?
En effet le rôle des ID unique est de pouvoir identifier à coup sûr une personne ou un objet. Si un programme introduit un biais dans la génération des ID, ce genre d'incident arrive.
Voici un exemple flagrant et qui se rapproche d'une expérience connue de tous:
Vous recevez un coup de téléphone (votre numéro correspond à l'ID), or ce coup de téléphone est une erreur, qui est à blammer celui qui a fait l'erreur en tapant un faux numéro ou votre fournisseur qui en se basant sur l'ID qui lui ai communiqué vous a transféré l'appel?
(Oui je suis pro-Pomme, cela ne m'aveugle pas pour autant sur les défauts de ce terminal, mais il ne faut pas non plus accuser à tort et de travers ^^)
ce qui serait a blâmer c'est que la personne accepte de délivrer le message sans vérifier qu'elle s'adresse à la bonne personne, la différence entre une lettre et un recommandé quoi. Ici on traite de sécurité et ce n'est pas secure contrairement au système d'auth MSN justement (cf MSNP15).
RépondreSupprimerd'autre un nouvel article vient d'être publié quant au système cryptographique du 3G-s qualifié de "à chier":
http://www.wired.com/gadgetlab/2009/07/iphone-encryption/
je n'en fait pas de billet a part. Ici on ne parle que de sécurité, après comme c'est bien expliqué dans l'article, aux entreprises d'évaluer le niveau de risque toléré.Comme pour beaucoup d'autres matériels, il faut trouver l'équilibre entre les fonctionnalités et le risque tolérable compte tenu de son activité.