Τον Δεκέμβριο, η εταιρεία κυβερνοασφάλειας FireEye ανακάλυψε ένα σφάλμα στην τελευταία έκδοση του iOS της Apple, που ονομάστηκε "Masque Attack", που επιτρέπει σε κακόβουλες εφαρμογές να αντικαταστήσουν νόμιμες εφαρμογές με το ίδιο όνομα, αλλά δεν ήταν σε θέση να υποδείξει συγκεκριμένα παραδείγματα της εκμετάλλευσης στο χρήση. Η ομάδα έχει αποκαλύψει από τότε τρεις παράγωγες επιθέσεις — Masque Extension, Manifest Masque, Plugin Masque — και επιπλέον αποκάλυψε στοιχεία ότι το Masque Attack χρησιμοποιήθηκε για να υποδυθεί τα δημοφιλή μηνύματα εφαρμογές.
Ενημερώθηκε στις 08-06-2015 από τον Kyle Wiggers: Προστέθηκαν λεπτομέρειες των παραγώγων Masque Attack και αποδεικτικά στοιχεία για την εκμετάλλευση στη φύση.
Προτεινόμενα βίντεο
Οπως και FireEye εξηγήθηκε πριν από λίγους μήνες, το αρχικό Masque Attack iOS 7 και 8 επιτρέπει στους χάκερ να εγκαταστήσουν ψεύτικες εφαρμογές σε συσκευές iOS μέσω email ή μηνυμάτων κειμένου, εάν τα ονόματα των εφαρμογών ταιριάζουν. Εφόσον ο χάκερ δίνει στην ψευδή, μολυσμένη εφαρμογή το ίδιο όνομα με την πραγματική, οι χάκερ μπορούν να διεισδύσουν στη συσκευή. Φυσικά, οι χρήστες iOS εξακολουθούν να πρέπει να κάνουν λήψη της εφαρμογής από το κείμενο ή το email, σε αντίθεση με το να πηγαίνουν απευθείας στο App Store και να αναζητούν την ίδια εφαρμογή.
Ωστόσο, εάν οι χρήστες εγκαταστήσουν την εφαρμογή χρησιμοποιώντας τον σύνδεσμο που παρέχεται από τους χάκερ, η κακόβουλη έκδοση παίρνει πάνω από την πραγματική εφαρμογή στο iPhone ή το iPad του χρήστη, όπου μπορεί στη συνέχεια να κλέψει τα προσωπικά του χρήστη πληροφορίες. Ακόμη και μετά την επανεκκίνηση του τηλεφώνου από τους χρήστες, η κακόβουλη εφαρμογή θα εξακολουθεί να λειτουργεί, είπε το FireEye. «Είναι μια πολύ ισχυρή ευπάθεια και είναι εύκολο να την εκμεταλλευτεί κανείς», δήλωσε ο Tao Wei, ανώτατος ερευνητής του FireEye, σύμφωνα με την Reuters.
Νέα κατορθώματα
Μια άλλη ομάδα ερευνητών από Trend Micro ανακάλυψε ότι καθώς πολλές εφαρμογές iOS δεν διαθέτουν κρυπτογράφηση, το σφάλμα Masque Attack μπορεί επίσης να στοχεύσει ορισμένες νόμιμες εφαρμογές. Οι χάκερ μπορούν να έχουν πρόσβαση σε ευαίσθητα δεδομένα που δεν είναι κρυπτογραφημένα από νόμιμες εφαρμογές που υπάρχουν ήδη στο τηλέφωνο. Φυσικά, για να λειτουργήσει αυτό, οι χρήστες πρέπει να κάνουν λήψη μιας εφαρμογής από έναν σύνδεσμο ή ένα email, αντί από το App Store. Με άλλα λόγια, το Masque Attack πιθανότατα δεν θα επηρεάσει τους περισσότερους χρήστες, αλλά θα μπορούσε να είναι άσχημα νέα για τους εταιρικούς χρήστες που στέλνουν ειδικές, εγχώριες εφαρμογές στους χρήστες.
Αλλά τα κατορθώματα που ανακαλύφθηκε πρόσφατα από το FireEye δεν απαιτούν τέτοιου είδους φινιγκλίσματα. Το Masque Extension εκμεταλλεύεται τις επεκτάσεις εφαρμογών iOS 8 - αγκίστρια που επιτρέπουν στις εφαρμογές να "μιλούν" μεταξύ τους, ουσιαστικά - για να αποκτήσουν πρόσβαση σε δεδομένα σε άλλες εφαρμογές. «Ένας εισβολέας μπορεί να δελεάσει ένα θύμα να εγκαταστήσει μια εσωτερική εφαρμογή […] και να ενεργοποιήσει την κακόβουλη επέκταση της εφαρμογής […] στη συσκευή του», είπε η FireEye.
Άλλα exploits — Manifest Masque και Plugin Masque — επιτρέπουν στους χάκερ να κλέβουν τις εφαρμογές και τη σύνδεση των χρηστών. Το Manifest Masque, το οποίο επιδιορθώθηκε εν μέρει στο iOS 8.4, μπορεί να καταστήσει διεφθαρμένες και μη διαθέσιμες ακόμη και βασικές εφαρμογές όπως το Health, το Watch και το Apple Pay. Οι δυνατότητες του Plugin Masque είναι πιο ανησυχητικές — παρουσιάζεται ως α VPN σύνδεση και οθόνες όλη την κίνηση στο διαδίκτυο.
Παρατηρήθηκε στην άγρια φύση
Στο συνέδριο χάκερ Black Hat στο Λας Βέγκας, Οι ερευνητές του FireEye είπαν την ευπάθεια Masque Attack χρησιμοποιήθηκε για την εγκατάσταση ψευδών εφαρμογών ανταλλαγής μηνυμάτων που μιμούνται αγγελιοφόρους τρίτων Facebook, WhatsApp, Skype και άλλα. Επιπλέον, αποκάλυψαν ότι οι πελάτες της ιταλικής εταιρείας παρακολούθησης Hacking Team, των δημιουργών του Masque Attack, χρησιμοποιούσαν το exploit εδώ και μήνες για να παρακολουθούν κρυφά τα iPhone.
Τα στοιχεία προέκυψαν από τις βάσεις δεδομένων της Hacking Team, το περιεχόμενο των οποίων δημοσιεύτηκε από έναν χάκερ τον περασμένο μήνα. Σύμφωνα με τα εσωτερικά e-mail της εταιρείας που αποκαλύφθηκαν από το FireEye, η Hacking Team δημιούργησε έναν μιμητισμό της Apple Εφαρμογή Newstand με δυνατότητα λήψης 11 επιπλέον αντιγράφων: κακόβουλες εκδόσεις WhatsApp, Twitter, Facebook,
Ευτυχώς, ωστόσο, ο κίνδυνος μελλοντικής μόλυνσης είναι χαμηλός - η εκμετάλλευση του Hacking Team απαιτούσε φυσική πρόσβαση στα στοχευμένα iPhone. Ωστόσο, ο ερευνητής του FireEye, Zhaofeng Chen, συνέστησε στους χρήστες iPhone να «ενημερώσουν τις συσκευές τους στην πιο πρόσφατη έκδοση του iOS και να δώσουν μεγάλη προσοχή στους τρόπους λήψης των εφαρμογών τους».
Λίγο αφότου το FireEye αποκάλυψε το σφάλμα Masque Attack, η ομοσπονδιακή κυβέρνηση εξέδωσε μια προειδοποίηση σχετικά με την ευπάθεια, σύμφωνα με Reuters. Υπό το φως του πανικού που εμπνέεται από την κυβέρνηση και τις αναφορές του FireEye, η Apple έδωσε τελικά μια απάντηση στα μέσα ενημέρωσης σχετικά με την απειλή που θέτει το Masque Attack. Η Apple διαβεβαίωσε τους χρήστες iOS ότι κανείς δεν έχει επηρεαστεί ακόμα από το κακόβουλο λογισμικό και είναι απλώς κάτι που ανακάλυψαν οι ερευνητές. Η εταιρεία υποστήριξε την ενσωματωμένη ασφάλεια του iOS και διαβεβαίωσε τους χρήστες ότι τίποτα δεν θα τους συμβεί εφόσον κατεβάζουν εφαρμογές μόνο απευθείας από το App Store.
«Σχεδιάσαμε το OS X και το iOS με ενσωματωμένες διασφαλίσεις ασφαλείας για να βοηθήσουμε στην προστασία των πελατών και να τους προειδοποιήσουμε πριν εγκαταστήσουν δυνητικά κακόβουλο λογισμικό», δήλωσε εκπρόσωπος της Apple. iMore. «Δεν γνωρίζουμε κανέναν πελάτη που έχει πραγματικά επηρεαστεί από αυτήν την επίθεση. Ενθαρρύνουμε τους πελάτες να κάνουν λήψη μόνο από αξιόπιστες πηγές όπως το App Store και να δίνουν προσοχή σε τυχόν προειδοποιήσεις κατά τη λήψη εφαρμογών. Οι εταιρικοί χρήστες που εγκαθιστούν προσαρμοσμένες εφαρμογές θα πρέπει να εγκαταστήσουν εφαρμογές από τον ασφαλή ιστότοπο της εταιρείας τους."
Μέχρι τη στιγμή που γράφονται αυτές οι εκδόσεις, το FireEye επιβεβαίωσε ότι το Masque Attack μπορεί να επηρεάσει οποιαδήποτε συσκευή που εκτελεί iOS 7.1.1, 7.1.2, 8.0, 8.1 και 8.1.1 beta, ανεξάρτητα από το αν έχετε κάνει jailbreak τη συσκευή σας. Το Masque Attack και τα παράγωγά του έχουν επιδιορθωθεί εν μέρει στο iOS 8.4, αλλά στο μεταξύ, συνιστάται στους χρήστες να απέχουν από τη λήψη οποιεσδήποτε εφαρμογές από άλλες πηγές εκτός από το επίσημο App Store και για να σταματήσετε τη λήψη εφαρμογών από αναδυόμενα παράθυρα, email, ιστοσελίδες ή άλλα ξένα πηγές.
Ενημερώσεις:
Ενημερώθηκε στις 21-11-2014 από την Malarie Gokey: Προστέθηκε αναφορά από ερευνητές που ανακάλυψαν μεγαλύτερη ευπάθεια στο σφάλμα Masque Attack.
Ενημερώθηκε στις 14-11-2014 από την Malarie Gokey: Προστέθηκαν σχόλια από την Apple που προεξοφλούν τη σοβαρότητα της απειλής που θέτει το Masque Attack.
Συστάσεις των συντακτών
- Το iPadOS 17 μόλις έκανε την αγαπημένη μου λειτουργία iPad ακόμα καλύτερη
- Έχετε iPhone, iPad ή Apple Watch; Πρέπει να το ενημερώσετε τώρα
- 11 λειτουργίες στο iOS 17 που ανυπομονώ να χρησιμοποιήσω στο iPhone μου
- iOS 17: Η Apple δεν πρόσθεσε τη μοναδική λειτουργία που περίμενα
- Το iOS 17 δεν είναι η ενημέρωση του iPhone που ήλπιζα
