في ديسمبر/كانون الأول، اكتشفت شركة الأمن السيبراني FireEye خطأً في أحدث إصدار من نظام التشغيل iOS من Apple، والذي أطلق عليه اسم "Masque Attack"، والذي يسمح للتطبيقات الضارة باستبدال التطبيقات الشرعية التي تحمل الاسم نفسه، لكنه لم يتمكن من الإشارة إلى أمثلة ملموسة للاستغلال في يستخدم. اكتشف الفريق منذ ذلك الحين ثلاث هجمات مشتقة – Masque Extension وManifest Masque وPlugin Masque - وكشف علاوة على ذلك عن أدلة على استخدام الهجوم القناعي لانتحال شخصية الرسائل الشائعة تطبيقات.
تم التحديث بتاريخ 08-06-2015 بواسطة كايل ويجرز: تمت إضافة تفاصيل عن مشتقات Masque Attack والأدلة على الاستغلال في البرية.
مقاطع الفيديو الموصى بها
مثل FireEye أوضح قبل بضعة أشهر أن الإصدار الأصلي Masque Attack iOS 7 و8 يسمح للمتسللين بتثبيت تطبيقات مزيفة على أجهزة iOS من خلال البريد الإلكتروني أو الرسائل النصية إذا كانت أسماء التطبيقات متطابقة. وطالما أن المتسلل يعطي التطبيق الزائف والمصاب نفس اسم التطبيق الحقيقي، فيمكن للمتسللين التسلل إلى الجهاز. بالطبع، لا يزال يتعين على مستخدمي iOS تنزيل التطبيق من الرسالة النصية أو البريد الإلكتروني، بدلاً من الانتقال مباشرة إلى متجر التطبيقات والبحث عن نفس التطبيق.
ومع ذلك، إذا قام المستخدمون بتثبيت التطبيق باستخدام الرابط الذي قدمه المتسللون، فسيتم الاستيلاء على الإصدار الضار عبر التطبيق الحقيقي على جهاز iPhone أو iPad الخاص بالمستخدم، حيث يمكنه بعد ذلك سرقة بيانات المستخدم الشخصية معلومة. وقال FireEye إنه حتى بعد إعادة تشغيل المستخدمين للهاتف، سيظل التطبيق الضار يعمل. وقال تاو وي، كبير الباحثين في فريق FireEye: "إنها ثغرة أمنية قوية للغاية ومن السهل استغلالها". رويترز.
مآثر جديدة
مجموعة أخرى من الباحثين من تريند مايكرو اكتشفت أنه نظرًا لأن العديد من تطبيقات iOS لا تحتوي على تشفير، فإن خطأ Masque Attack يمكن أن يستهدف أيضًا بعض التطبيقات الشرعية. يمكن للمتسللين الوصول إلى البيانات الحساسة غير المشفرة من التطبيقات الشرعية الموجودة بالفعل على الهاتف. بالطبع، لكي ينجح هذا، لا يزال يتعين على المستخدمين تنزيل تطبيق من رابط أو بريد إلكتروني، بدلاً من تنزيله من متجر التطبيقات. بمعنى آخر، من المحتمل ألا يؤثر هجوم Masque Attack على معظم المستخدمين، ولكنه قد يكون خبرًا سيئًا لمستخدمي المؤسسات الذين يرسلون تطبيقات خاصة محلية إلى المستخدمين.
لكن مآثر تم اكتشافه حديثًا بواسطة FireEye لا تتطلب مثل هذا التلاعب. يستفيد Masque Extension من ملحقات تطبيقات iOS 8 - الخطافات التي تسمح للتطبيقات "بالتحدث" مع بعضها البعض، في جوهرها - للوصول إلى البيانات داخل التطبيقات الأخرى. قال FireEye: "يمكن للمهاجم أن يجذب الضحية لتثبيت تطبيق داخلي [...] ولتمكين الامتداد الضار للتطبيق [...] على جهازه/جهازها".
تسمح عمليات الاستغلال الأخرى — Manifest Masque وPlugin Masque — للمتسللين باختراق تطبيقات المستخدمين واتصالاتهم. يمكن أن يؤدي Manifest Masque، الذي تم تصحيحه جزئيًا في نظام التشغيل iOS 8.4، إلى جعل التطبيقات الأساسية مثل Health وWatch وApple Pay فاسدة وغير قابلة للتشغيل. تعد إمكانات Plugin Masque أكثر إثارة للقلق - فهي تمثل بمثابة ملف VPN اتصال و المراقبين جميع حركة المرور على الإنترنت.
لوحظ في البرية
في مؤتمر قراصنة القبعة السوداء في لاس فيغاس، قال باحثو FireEye إن هناك ثغرة أمنية في Masque Attack تم استخدامه لتثبيت تطبيقات مراسلة مزيفة تحاكي تطبيقات المراسلة التابعة لجهات خارجية مثل فيسبوكوالواتساب والسكايب وغيرها. بالإضافة إلى ذلك، كشفوا أن عملاء شركة المراقبة الإيطالية Hacking Team، منشئو Masque Attack، يستخدمون هذا الاستغلال منذ أشهر لمراقبة أجهزة iPhone خلسة.
ظهرت الأدلة من قواعد بيانات Hacking Team، والتي نشر أحد المتسللين محتوياتها الشهر الماضي. وفقًا لرسائل البريد الإلكتروني الداخلية للشركة التي كشفت عنها FireEye، أنشأ فريق Hacking Team محاكاة لشركة Apple تطبيق Newstand قادر على تنزيل 11 نسخة إضافية: إصدارات ضارة من WhatsApp وTwitter و فيسبوك،
ولحسن الحظ، فإن خطر الإصابة بالعدوى في المستقبل منخفض، حيث تطلب استغلال Hacking Team الوصول الفعلي إلى أجهزة iPhone المستهدفة. ومع ذلك، أوصى Zhaofeng Chen، الباحث في FireEye، مستخدمي iPhone "بتحديث أجهزتهم إلى أحدث إصدار من نظام التشغيل iOS وإيلاء اهتمام وثيق للطرق التي يمكنهم من خلالها تنزيل تطبيقاتهم".
بعد فترة وجيزة من كشف FireEye عن خطأ Masque Attack، أصدرت الحكومة الفيدرالية تحذيرًا بشأن الثغرة الأمنية، وفقًا لما ذكره موقع "Word". رويترز. في ظل الذعر الذي أثارته تقارير الحكومة وFireEye، أصدرت شركة Apple أخيرًا ردًا على وسائل الإعلام حول التهديد الذي يشكله Masque Attack. أكدت شركة Apple لمستخدمي iOS أنه لم يتأثر أحد بالبرامج الضارة حتى الآن، وهو مجرد شيء اكتشفه الباحثون. وروجت الشركة للأمان المدمج في نظام التشغيل iOS وأكدت للمستخدمين أنه لن يحدث لهم أي شيء طالما أنهم يقومون فقط بتنزيل التطبيقات مباشرة من متجر التطبيقات.
وقال متحدث باسم شركة أبل: "لقد صممنا نظامي التشغيل OS X وiOS مع ضمانات أمنية مدمجة للمساعدة في حماية العملاء وتحذيرهم قبل تثبيت البرامج الضارة المحتملة". أنا أكثر. "لسنا على علم بأي عملاء تأثروا بالفعل بهذا الهجوم. نحن نشجع العملاء على التنزيل فقط من مصادر موثوقة مثل App Store، والانتباه إلى أي تحذيرات أثناء تنزيل التطبيقات. يجب على مستخدمي المؤسسات الذين يقومون بتثبيت تطبيقات مخصصة تثبيت التطبيقات من موقع الويب الآمن لشركتهم.
حتى كتابة هذه السطور، أكدت FireEye أن Masque Attack يمكن أن يؤثر على أي جهاز يعمل بنظام التشغيل iOS 7.1.1 و7.1.2 و8.0 و8.1 و8.1.1 بيتا، بغض النظر عما إذا كنت قد قمت بكسر حماية جهازك أم لا. تم تصحيح Masque Attack ومشتقاته جزئيًا في نظام التشغيل iOS 8.4، ولكن في هذه الأثناء، يُنصح المستخدمون بالامتناع عن التنزيل أي تطبيقات من مصادر أخرى غير متجر التطبيقات الرسمي وإيقاف تنزيل التطبيقات من النوافذ المنبثقة أو رسائل البريد الإلكتروني أو صفحات الويب أو غيرها من التطبيقات الأجنبية مصادر.
التحديثات:
تم التحديث بتاريخ 21-11-2014 بواسطة مالاري جوكي: تمت إضافة تقرير من الباحثين الذين اكتشفوا ثغرة أمنية أكبر في خطأ Masque Attack.
تم التحديث بتاريخ 14-11-2014 بواسطة مالاري جوكي: تمت إضافة تعليقات من Apple تخفض خطورة التهديد الذي يشكله Masque Attack.
توصيات المحررين
- لقد جعل iPadOS 17 ميزة iPad المفضلة لدي أفضل
- هل لديك iPhone أو iPad أو Apple Watch؟ تحتاج إلى تحديثه الآن
- 11 ميزة في iOS 17 لا أستطيع الانتظار لاستخدامها على جهاز iPhone الخاص بي
- iOS 17: لم تُضف Apple الميزة الوحيدة التي كنت أنتظرها
- iOS 17 ليس تحديث iPhone الذي كنت أتمناه
