Decemberben a FireEye kiberbiztonsági vállalat felfedezett egy hibát az Apple iOS legújabb verziójában, a „Masque Attack” néven. lehetővé teszi a rosszindulatú alkalmazások számára, hogy lecseréljék az azonos nevű, legális alkalmazásokat, de nem tudott konkrét példákat mutatni a kizsákmányolásra használat. A csapat azóta három származékos támadást fedezett fel: Masque Extension, Manifest Masque, Plugin Masque - és bizonyítékokat tárt fel arra vonatkozóan, hogy a Masque Attack-et népszerű üzenetek megszemélyesítésére használták alkalmazásokat.
Kyle Wiggers frissítette 2015. 08. 06.: Hozzáadott részletek a Masque Attack származékairól és a vadonban történt kizsákmányolás bizonyítékairól.
Ajánlott videók
Mint FireEye Néhány hónappal ezelőtt elmagyarázták, hogy az eredeti Masque Attack iOS 7 és 8 lehetővé teszi a hackerek számára, hogy hamis alkalmazásokat telepítsenek iOS-eszközökre e-mailben vagy szöveges üzenetekben, ha az alkalmazások neve megegyezik. Mindaddig, amíg a hacker ugyanazt a nevet adja a hamis, fertőzött alkalmazásnak, mint az igazi, a hackerek behatolhatnak az eszközbe. Természetesen az iOS-felhasználóknak továbbra is le kell tölteniük az alkalmazást szöveges üzenetből vagy e-mailből, ahelyett, hogy közvetlenül az App Store-ba kell menniük, és ugyanazt az alkalmazást kell keresniük.
Ha azonban a felhasználók a hackerek által biztosított hivatkozás segítségével telepítik az alkalmazást, akkor a rosszindulatú verzió kerül be a valódi alkalmazáson keresztül a felhasználó iPhone-ján vagy iPadjén, ahol aztán ellophatja a felhasználó személyes adatait információ. A rosszindulatú alkalmazás még a telefon újraindítása után is működni fog – mondta a FireEye. "Ez egy nagyon erős sebezhetőség, és könnyen kihasználható" - mondta a FireEye vezető kutatója, Tao Wei. Reuters.
Új kihasználások
Egy másik kutatócsoport a Trend Micro rájött, hogy mivel sok iOS-alkalmazás nem rendelkezik titkosítással, a Masque Attack hiba bizonyos legitim alkalmazásokat is megcélozhat. A hackerek olyan érzékeny adatokhoz férhetnek hozzá, amelyek nincsenek titkosítva a telefonon már létező legitim alkalmazásokból. Természetesen ahhoz, hogy ez működjön, a felhasználóknak továbbra is le kell tölteniük egy alkalmazást egy hivatkozásból vagy e-mailből, nem pedig az App Store-ból. Más szavakkal, a Masque Attack valószínűleg továbbra sem érinti a legtöbb felhasználót, de rossz hír lehet azoknak a vállalati felhasználóknak, akik speciális, saját fejlesztésű alkalmazásokat küldenek a felhasználóknak.
De a tettek újonnan fedezte fel a FireEye nem igényelnek ilyen finomítást. A Masque Extension kihasználja az iOS 8 alkalmazásbővítményeket – olyan horgokat, amelyek lényegében lehetővé teszik az alkalmazások számára, hogy „beszéljenek” egymással –, hogy hozzáférhessenek más alkalmazásokon belüli adatokhoz. „A támadó ráveheti az áldozatot, hogy telepítsen egy házon belüli alkalmazást […], és engedélyezze a […] alkalmazás rosszindulatú kiterjesztését az eszközén” – mondta FireEye.
Más kihasználások – a Manifest Masque és a Plugin Masque – lehetővé teszik a hackerek számára, hogy eltérítsék a felhasználók alkalmazásait és kapcsolatait. Az iOS 8.4-ben részben javított Manifest Masque még az olyan alapvető alkalmazásokat is képes korrupttá és elindíthatatlanná tenni, mint a Health, a Watch és az Apple Pay. A Plugin Masque lehetőségei aggasztóbbak – úgy tűnik, mint a VPN kapcsolat és monitorok az összes internetes forgalom.
Vadon megfigyelhető
A Black Hat hacker konferencián Las Vegasban A FireEye kutatói szerint a Masque Attack sebezhetősége harmadik féltől származó üzenetküldőket utánzó hamis üzenetküldő alkalmazások telepítésére használták Facebook, WhatsApp, Skype és mások. Ezenkívül felfedték, hogy a Masque Attack ötletgazdája, a Hacking Team olasz megfigyelőcég ügyfelei hónapok óta használják az iPhone készülékek titokzatos megfigyelésére.
A bizonyítékok a Hacking Team adatbázisaiból kerültek elő, amelyek tartalmát egy hacker tette közzé a múlt hónapban. A FireEye által felfedett belső vállalati e-mailek szerint a Hacking Team az Apple mimikáját hozta létre. Újságos alkalmazás, amely 11 további másolat letöltésére képes: a WhatsApp, a Twitter rosszindulatú verziói, Facebook,
Szerencsére azonban a jövőbeni fertőzés kockázata alacsony – a Hacking Team kizsákmányolása fizikai hozzáférést igényelt a megcélzott iPhone-okhoz. Ennek ellenére a FireEye kutatója, Zhaofeng Chen azt javasolta, hogy az iPhone-felhasználók „frissítsék eszközeiket az iOS legújabb verziójára, és fokozottan figyeljenek az alkalmazások letöltésének módjaira”.
Nem sokkal azután, hogy a FireEye felfedte a Masque Attack hibáját, a szövetségi kormány figyelmeztetést adott ki a sebezhetőség miatt. Reuters. A kormány és a FireEye jelentései által inspirált pánik fényében az Apple végül választ adott a médiának a Masque Attack által jelentett fenyegetésről. Az Apple biztosította az iOS-felhasználókat arról, hogy még senkit nem érintett a kártevő, és ezt csak a kutatók fedezték fel. A cég megemlítette az iOS beépített biztonságát, és biztosította a felhasználókat, hogy semmi sem fog történni velük, amíg csak közvetlenül az App Store-ból töltik le az alkalmazásokat.
„Az OS X-et és az iOS-t beépített biztonsági óvintézkedésekkel terveztük, hogy segítsünk védeni az ügyfeleket, és figyelmeztessük őket a potenciálisan rosszindulatú szoftverek telepítése előtt” – mondta az Apple szóvivője. Én több. „Nem tudunk olyan ügyfelekről, akiket ténylegesen érintett volna ez a támadás. Arra biztatjuk az ügyfeleket, hogy csak megbízható forrásokból töltsenek le, például az App Store-ból, és figyeljenek minden figyelmeztetésre, amikor alkalmazásokat töltenek le. Az egyéni alkalmazásokat telepítő vállalati felhasználóknak a vállalatuk biztonságos webhelyéről kell telepíteniük az alkalmazásokat.”
Jelen pillanatban a FireEye megerősítette, hogy a Masque Attack minden iOS 7.1.1, 7.1.2, 8.0, 8.1 és 8.1.1 béta verziót futtató eszközt érinthet, függetlenül attól, hogy feltörte-e az eszközt. A Masque Attack és származékai részben javítva lettek az iOS 8.4-ben, de addig is azt tanácsolják a felhasználóknak, hogy tartózkodjanak a letöltéstől a hivatalos App Store-tól eltérő forrásból származó alkalmazások, valamint az alkalmazások letöltésének leállítása előugró ablakokból, e-mailekből, weboldalakról vagy egyéb külföldi források.
Frissítések:
Malarie Gokey frissítette 2014. 11. 21-én: Hozzáadott jelentés olyan kutatóktól, akik nagyobb sebezhetőséget fedeztek fel a Masque Attack hibájában.
Malarie Gokey frissítette 2014. 11. 14-én: Hozzáadott megjegyzések az Apple-től, amelyek csökkentik a Masque Attack által jelentett fenyegetés súlyosságát.
Szerkesztői ajánlások
- Az iPadOS 17 még jobbá tette kedvenc iPad funkciómat
- Van iPhone-od, iPaded vagy Apple Watchod? Azonnal frissítenie kell
- 11 olyan funkció az iOS 17-ben, amelyeket alig várok, hogy használhassam az iPhone-omon
- iOS 17: Az Apple nem adta hozzá azt a funkciót, amelyre vártam
- Az iOS 17 nem az az iPhone frissítés, amelyre számítottam
