V prosinci společnost FireEye zabývající se kybernetickou bezpečností odhalila chybu v nejnovější verzi Apple iOS, nazvanou „Masque Attack“, která umožňuje škodlivým aplikacím nahradit legitimní aplikace se stejným názvem, ale nebyl schopen poukázat na konkrétní příklady zneužití použití. Tým od té doby odhalil tři odvozené útoky — Masque Extension, Manifest Masque, Plugin Masque — a dále odhalil důkazy, že Masque Attack byl použit k předstírání populárních zpráv aplikace.
Aktualizováno 08.06.2015 Kyle Wiggers: Přidány podrobnosti o derivátech Masque Attack a důkazy o využití ve volné přírodě.
Doporučená videa
Tak jako FireEye vysvětleno před několika měsíci, původní Masque Attack iOS 7 a 8 umožňuje hackerům instalovat falešné aplikace na zařízení iOS prostřednictvím e-mailu nebo textových zpráv, pokud se názvy aplikací shodují. Dokud hacker dá falešné infikované aplikaci stejný název jako ta skutečná, mohou hackeři proniknout do zařízení. Uživatelé iOS si samozřejmě musí aplikaci stále stáhnout z textu nebo e-mailu, na rozdíl od toho, aby šli přímo do App Store a vyhledávali stejnou aplikaci.
Pokud však uživatelé nainstalují aplikaci pomocí odkazu poskytnutého hackery, škodlivá verze převezme přes skutečnou aplikaci na iPhonu nebo iPadu uživatele, kde pak může ukrást jeho osobní údaje informace. I poté, co uživatelé restartují telefon, bude škodlivá aplikace stále fungovat, řekl FireEye. "Je to velmi silná zranitelnost a je snadné ji zneužít," řekl podle agentury Reuters vedoucí výzkumný pracovník FireEye Tao Wei. Reuters.
Nové exploity
Další skupina badatelů z Trend Micro zjistili, že protože mnoho aplikací pro iOS nemá šifrování, chyba Masque Attack může cílit i na některé legitimní aplikace. Hackeři mají přístup k citlivým datům, která nejsou zašifrována, z legitimních aplikací, které již v telefonu existují. Samozřejmě, aby to fungovalo, uživatelé si stále musí stáhnout aplikaci z odkazu nebo e-mailu, nikoli z App Store. Jinými slovy, Masque Attack stále pravděpodobně neovlivní většinu uživatelů, ale může to být špatná zpráva pro podnikové uživatele, kteří uživatelům posílají speciální domácí aplikace.
Ale ty exploity nově objevený FireEye nevyžadují žádnou takovou úpravu. Masque Extension využívá rozšíření aplikací pro iOS 8 – háčky, které aplikacím v podstatě umožňují „mluvit“ spolu – k získání přístupu k datům v jiných aplikacích. „Útočník může nalákat oběť, aby si nainstalovala vlastní aplikaci […] a povolila škodlivé rozšíření aplikace […] na svém zařízení,“ řekl FireEye.
Další exploity – Manifest Masque a Plugin Masque – umožňují hackerům unést aplikace a připojení uživatelů. Manifest Masque, který byl částečně opraven v iOS 8.4, dokáže poškodit a nespustit i základní aplikace, jako je Zdraví, Watch a Apple Pay. Potenciál Plugin Masque je znepokojivější — představuje jako VPN připojení a monitory veškerý internetový provoz.
Pozorováno ve volné přírodě
Na hackerské konferenci Black Hat v Las Vegas Výzkumníci FireEye uvedli zranitelnost Masque Attack byl použit k instalaci aplikací pro falešné zasílání zpráv napodobujících posly třetích stran, jako je Facebook, WhatsApp, Skype a další. Navíc odhalili, že zákazníci italské sledovací společnosti Hacking Team, tvůrci Masque Attack, používají exploit po celé měsíce k tajnému sledování iPhonů.
Důkazy se objevily z databází Hacking Team, jejichž obsah zveřejnil hacker minulý měsíc. Podle interních firemních e-mailů odhalených FireEye vytvořil Hacking Team mimiku Apple Aplikace Newstand schopná stáhnout 11 dalších napodobenin: škodlivé verze WhatsApp, Twitter, Facebook,
Naštěstí je však riziko budoucí infekce nízké – zneužití Hacking Teamu vyžadovalo fyzický přístup k cílovým iPhonům. Přesto výzkumník FireEye Zhaofeng Chen doporučil uživatelům iPhone, aby „aktualizovali svá zařízení na nejnovější verzi iOS a věnovali velkou pozornost způsobům, jakými si stahují své aplikace“.
Krátce poté, co FireEye odhalil chybu Masque Attack, vydala federální vláda varování před zranitelností. Reuters. Ve světle paniky inspirované vládou a zprávami FireEye, Apple konečně vydal odpověď médiím o hrozbě, kterou představuje Masque Attack. Apple ujistil uživatele iOS, že zatím nikdo nebyl ovlivněn malwarem a je to jen něco, co výzkumníci objevili. Společnost propagovala vestavěné zabezpečení iOS a ujistila uživatele, že se jim nic nestane, pokud budou stahovat aplikace pouze přímo z App Store.
„Navrhli jsme OS X a iOS s vestavěnými bezpečnostními pojistkami, které pomáhají chránit zákazníky a varovat je před instalací potenciálně škodlivého softwaru,“ řekl mluvčí společnosti Apple. iMore. „Nejsme si vědomi žádných zákazníků, kteří byli tímto útokem skutečně zasaženi. Doporučujeme zákazníkům, aby stahovali pouze z důvěryhodných zdrojů, jako je App Store, a aby při stahování aplikací věnovali pozornost všem varováním. Podnikoví uživatelé, kteří instalují vlastní aplikace, by si měli instalovat aplikace ze zabezpečeného webu své společnosti.“
V době psaní tohoto článku FireEye potvrdil, že Masque Attack může ovlivnit jakékoli zařízení se systémem iOS 7.1.1, 7.1.2, 8.0, 8.1 a 8.1.1 beta, bez ohledu na to, zda jste své zařízení provedli jailbreakem. Masque Attack a jeho deriváty byly částečně opraveny v iOS 8.4, ale mezitím se uživatelům doporučuje, aby se zdrželi stahování jakékoli aplikace z jiných zdrojů než z oficiálního obchodu App Store a k zastavení stahování aplikací z vyskakovacích oken, e-mailů, webových stránek nebo jiných cizích Zdroje.
Aktualizace:
Aktualizováno 21. 11. 2014 od Malarie Gokey: Přidána zpráva od výzkumníků, kteří objevili větší zranitelnost v chybě Masque Attack.
Aktualizováno 14. 11. 2014 od Malarie Gokey: Přidány komentáře od Applu, které zlevňují závažnost hrozby, kterou představuje Masque Attack.
Doporučení redakce
- iPadOS 17 právě vylepšil moji oblíbenou funkci iPadu
- Máte iPhone, iPad nebo Apple Watch? Musíte jej aktualizovat hned teď
- 11 funkcí v iOS 17, které se nemohu dočkat, až je použiji na svém iPhonu
- iOS 17: Apple nepřidal jednu funkci, na kterou jsem čekal
- iOS 17 není aktualizace pro iPhone, ve kterou jsem doufal
