През декември компанията за киберсигурност FireEye откри грешка в най-новата версия на iOS на Apple, наречена „Masque Attack“, която позволява на злонамерени приложения да заменят легитимни приложения със същото име, но не успя да посочи конкретни примери за експлойта в използване. Оттогава екипът е разкрил три производни атаки — Masque Extension, Manifest Masque, Plugin Masque — и освен това разкри доказателства, че Masque Attack е използван за имитиране на популярни съобщения приложения.
Актуализирано на 08-06-2015 от Кайл Уигърс: Добавени са подробности за производните на Masque Attack и доказателства за експлоатацията в дивата природа.
Препоръчани видеоклипове
Като FireEye Обяснено преди няколко месеца, оригиналната Masque Attack iOS 7 и 8 позволява на хакерите да инсталират фалшиви приложения на iOS устройства чрез имейл или текстови съобщения, ако имената на приложенията съвпадат. Докато хакерът даде на фалшивото, заразено приложение същото име като истинското, хакерите могат да проникнат в устройството. Разбира се, потребителите на iOS все още трябва да изтеглят приложението от текста или имейла, вместо да отидат директно в App Store и да търсят същото приложение.
Въпреки това, ако потребителите инсталират приложението, използвайки връзката, предоставена от хакерите, злонамерената версия отнема над истинското приложение на iPhone или iPad на потребителя, където след това може да открадне личните данни на потребителя информация. Дори след като потребителите рестартират телефона, злонамереното приложение ще продължи да работи, каза FireEye. „Това е много мощна уязвимост и е лесно да се използва“, каза Тао Уей, старши изследовател на FireEye, според Ройтерс.
Нови подвизи
Друга група изследователи от Trend Micro откри, че тъй като много приложения за iOS нямат криптиране, грешката Masque Attack може да е насочена и към някои легитимни приложения. Хакерите имат достъп до чувствителни данни, които не са криптирани от законни приложения, които вече съществуват на телефона. Разбира се, за да работи това, потребителите все още трябва да изтеглят приложение от връзка или имейл, вместо от App Store. С други думи, Masque Attack все още вероятно няма да засегне повечето потребители, но може да е лоша новина за корпоративните потребители, които изпращат специални, домашни приложения на потребителите.
Но подвизите наскоро открит от FireEye не се нуждаят от такава обработка. Masque Extension се възползва от разширенията за приложения на iOS 8 - куки, които позволяват на приложенията да "говорят" по същество - за да получат достъп до данни в други приложения. „Атакуващият може да примами жертва да инсталира вътрешно приложение […] и да активира злонамереното разширение на приложението […] на неговото/нейното устройство,” каза FireEye.
Други експлойти — Manifest Masque и Plugin Masque — позволяват на хакерите да отвличат приложенията и връзката на потребителите. Manifest Masque, който беше частично коригиран в iOS 8.4, може да направи дори основни приложения като Health, Watch и Apple Pay повредени и невъзможни за стартиране. Потенциалът на Plugin Masque е по-притеснителен - той се представя като VPN връзка и монитори целия интернет трафик.
Наблюдаван в дивата природа
На хакерската конференция Black Hat в Лас Вегас, Изследователите на FireEye казаха, че уязвимостта на Masque Attack се използва за инсталиране на фалшиви приложения за съобщения, имитиращи месинджъри на трети страни като Facebook, WhatsApp, Skype и други. Освен това те разкриха, че клиенти на италианската компания за наблюдение Hacking Team, създателите на Masque Attack, са използвали експлойта от месеци, за да наблюдават тайно iPhone.
Доказателство се появи от базите данни на Hacking Team, чието съдържание беше публикувано от хакер миналия месец. Според вътрешни фирмени имейли, разкрити от FireEye, Hacking Team е създал мимикрия на Apple Приложението Newstand може да изтегли 11 допълнителни имитатора: злонамерени версии на WhatsApp, Twitter, фейсбук,
За щастие, обаче, рискът от бъдеща инфекция е нисък - експлойтът на Hacking Team изисква физически достъп до целевите iPhone. Все пак изследователят на FireEye Zhaofeng Chen препоръча на потребителите на iPhone да „актуализират устройствата си до най-новата версия на iOS и да обърнат голямо внимание на пътищата, по които изтеглят своите приложения“.
Малко след като FireEye разкри грешката Masque Attack, федералното правителство издаде предупреждение за уязвимостта, според Ройтерс. В светлината на паниката, вдъхновена от правителството и докладите на FireEye, Apple най-накрая издаде отговор на медиите относно заплахата, представлявана от Masque Attack. Apple увери потребителите на iOS, че все още никой не е бил засегнат от зловреден софтуер и това е просто нещо, което изследователите са открили. Компанията рекламира вградената сигурност на iOS и увери потребителите, че нищо няма да им се случи, докато теглят приложения само директно от App Store.
„Проектирахме OS X и iOS с вградени предпазни мерки за сигурност, за да защитим клиентите и да ги предупредим, преди да инсталират потенциално зловреден софтуер“, каза говорител на Apple iMore. „Не знаем за клиенти, които действително са били засегнати от тази атака. Насърчаваме клиентите да изтеглят само от надеждни източници като App Store и да обръщат внимание на всички предупреждения, докато изтеглят приложения. Корпоративните потребители, които инсталират персонализирани приложения, трябва да инсталират приложения от защитения уебсайт на своята компания.
Към момента на писане на това издание FireEye потвърди, че Masque Attack може да засегне всяко устройство, работещо с iOS 7.1.1, 7.1.2, 8.0, 8.1 и 8.1.1 бета, независимо дали сте направили джейлбрейк на вашето устройство. Masque Attack и неговите производни са частично коригирани в iOS 8.4, но междувременно потребителите се съветват да се въздържат от изтегляне всякакви приложения от източници, различни от официалния App Store и да спре изтеглянето на приложения от изскачащи прозорци, имейли, уеб страници или други чужди източници.
Актуализации:
Актуализирано на 11-21-2014 от Malarie Gokey: Добавен е доклад от изследователи, които са открили по-голяма уязвимост в грешката Masque Attack.
Актуализирано на 14-11-2014 от Malarie Gokey: Добавени са коментари от Apple, които отчитат сериозността на заплахата, породена от Masque Attack.
Препоръки на редакторите
- iPadOS 17 направи любимата ми функция на iPad още по-добра
- Имате iPhone, iPad или Apple Watch? Трябва да го актуализирате веднага
- 11 функции в iOS 17, които нямам търпение да използвам на моя iPhone
- iOS 17: Apple не добави единствената функция, която чаках
- iOS 17 не е актуализацията на iPhone, на която се надявах
