בדצמבר, חברת אבטחת הסייבר FireEye חשפה באג בגרסה האחרונה של iOS של אפל, שזכתה לכינוי "Masque Attack", ש מאפשר לאפליקציות זדוניות להחליף אפליקציות לגיטימיות באותו שם, אך לא הצליח להצביע על דוגמאות קונקרטיות לניצול ב להשתמש. הצוות חשף מאז שלוש התקפות נגזרות - Masque Extension, Manifest Masque, Plugin Masque - ובנוסף חשף ראיות לכך שמתקפת המסכה שימשה כדי להתחזות להודעות פופולריות אפליקציות.
עודכן ב-08-06-2015 על ידי קייל וויגרס: נוספו פרטים על נגזרות של Masque Attack ועדויות לניצול בטבע.
סרטונים מומלצים
כפי ש FireEye הוסבר לפני כמה חודשים, ה- Masque Attack המקורי iOS 7 ו-8 מאפשר להאקרים להתקין אפליקציות מזויפות במכשירי iOS באמצעות דואר אלקטרוני או הודעות טקסט אם שמות האפליקציות תואמים. כל עוד ההאקר נותן לאפליקציה הכוזבת והנגועה את אותו השם לזה האמיתי, האקרים יכולים לחדור למכשיר. כמובן שמשתמשי iOS עדיין צריכים להוריד את האפליקציה מהטקסט או מהמייל, בניגוד למעבר ישירות ל-App Store ולחפש את אותה אפליקציה.
עם זאת, אם משתמשים מתקינים את האפליקציה באמצעות הקישור שסופק על ידי ההאקרים, הגרסה הזדונית תופסת דרך האפליקציה האמיתית באייפון או אייפד של המשתמש, שם היא יכולה לגנוב את הפרטים האישיים של המשתמש מֵידָע. גם לאחר שהמשתמשים מפעילים מחדש את הטלפון, האפליקציה הזדונית עדיין תעבוד, אמר FireEye. "זו פגיעות חזקה מאוד וקל לנצל אותה", אמר טאו ווי, מדען מחקר צוות בכיר ב-FireEye, לפי
רויטרס.מעללים חדשים
קבוצה נוספת של חוקרים מ טרנד מיקרו גילה שמכיוון שלאפליקציות iOS רבות אין הצפנה, באג Masque Attack יכול גם למקד לכמה אפליקציות לגיטימיות. האקרים יכולים לגשת לנתונים רגישים שאינם מוצפנים מאפליקציות לגיטימיות שכבר קיימות בטלפון. כמובן שכדי שזה יעבוד, המשתמשים עדיין צריכים להוריד אפליקציה מקישור או מייל, במקום מ-App Store. במילים אחרות, ה- Masque Attack עדיין כנראה לא ישפיע על רוב המשתמשים, אבל זה יכול להיות חדשות רעות עבור משתמשים ארגוניים ששולחים אפליקציות מיוחדות תוצרת בית למשתמשים.
אבל המעללים התגלה לאחרונה על ידי FireEye לא דורשים עיבוד כזה. Masque Extension מנצל את הרחבות האפליקציות של iOS 8 - ווים המאפשרים לאפליקציות "לדבר" זה עם זה, בעצם - כדי לקבל גישה לנתונים בתוך אפליקציות אחרות. "תוקף יכול לפתות קורבן להתקין אפליקציה פנימית […] וכדי לאפשר את ההרחבה הזדונית של האפליקציה […] במכשיר שלו", אמר FireEye.
ניצולים אחרים - Manifest Masque ו- Plugin Masque - מאפשרים להאקרים לחטוף אפליקציות וחיבור של משתמשים. Manifest Masque, שתוקן חלקית ב-iOS 8.4, יכול להפוך אפילו אפליקציות ליבה כמו Health, Watch ו- Apple Pay מושחתות ובלתי ניתנות להפעלה. הפוטנציאל של Plugin Masque מדאיג יותר - הוא מתחזה כ- VPN חיבור ו צגים כל תעבורת האינטרנט.
נצפה בטבע
בכנס ההאקרים של Black Hat בלאס וגאס, חוקרי FireEye אמרו שהפגיעות של Masque Attack שימש להתקנת אפליקציות הודעות מזויפות המחקות שליחים של צד שלישי כמו פייסבוק, WhatsApp, Skype ואחרים. בנוסף, הם חשפו שלקוחות של חברת המעקב האיטלקית Hacking Team, יוזמי Masque Attack, השתמשו במנצל במשך חודשים כדי לנטר בחשאי מכשירי אייפון.
עדויות עלו ממאגרי המידע של Hacking Team, שתוכנם פורסם על ידי האקר בחודש שעבר. לפי אימיילים פנימיים של החברה שנחשפו על ידי FireEye, Hacking Team יצר חיקוי של אפל אפליקציית Newstand מסוגלת להוריד 11 העתקות נוספות: גרסאות זדוניות של WhatsApp, Twitter, פייסבוק,
למרבה המזל, עם זאת, הסיכון להידבקות עתידית הוא נמוך - ניצול ה-Hacking Team דרש גישה פיזית למכשירי האייפון הממוקדים. ובכל זאת, חוקר FireEye Zhaofeng Chen המליץ למשתמשי אייפון "לעדכן את המכשירים שלהם לגרסה העדכנית ביותר של iOS ולשים לב היטב לדרכים שבהן הם מורידים את האפליקציות שלהם".
זמן קצר לאחר ש-FireEye חשפה את באג Masque Attack, הממשל הפדרלי פרסם אזהרה לגבי הפגיעות, לפי רויטרס. לאור הפאניקה בהשראת הממשלה והדיווחים של FireEye, אפל סוף סוף פרסמה תגובה לתקשורת על האיום הנשקף מ-Masque Attack. אפל הבטיחה למשתמשי iOS שאף אחד עדיין לא הושפע מהתוכנה הזדונית וזה רק משהו שהחוקרים גילו. החברה הציגה את האבטחה המובנית של iOS והבטיחה למשתמשים ששום דבר לא יקרה להם כל עוד הם מורידים רק אפליקציות ישירות מ-App Store.
"עיצבנו את OS X ו-iOS עם אמצעי אבטחה מובנים כדי לעזור להגן על לקוחות ולהזהיר אותם לפני התקנת תוכנה שעלולה להיות זדונית", אמר דובר אפל iMore. "איננו מודעים ללקוחות שהושפעו בפועל מהמתקפה הזו. אנו ממליצים ללקוחות להוריד רק ממקורות מהימנים כמו ה-App Store ולשים לב לכל אזהרות בזמן שהם מורידים אפליקציות. משתמשים ארגוניים המתקינים אפליקציות מותאמות אישית צריכים להתקין אפליקציות מהאתר המאובטח של החברה שלהם."
נכון לכתיבת שורות אלו, FireEye אישרה כי Masque Attack יכולה להשפיע על כל מכשיר המריץ את iOS 7.1.1, 7.1.2, 8.0, 8.1 ו-8.1.1 בטא, ללא קשר לשבירת הכלא של המכשיר שלך. Masque Attack ונגזרותיו טופלו חלקית ב-iOS 8.4, אך בינתיים, מומלץ למשתמשים להימנע מהורדה יישומים כלשהם ממקורות שאינם מחנות האפליקציות הרשמית וכדי להפסיק להוריד אפליקציות מפופ אפים, מיילים, דפי אינטרנט או זרים אחרים מקורות.
עדכונים:
עודכן ב-21-11-2014 על ידי מלרי גוקי: נוסף דיווח של חוקרים שגילו פגיעות גדולה יותר בבאג Masque Attack.
עודכן ב-14-11-2014 על ידי מלרי גוקי: נוספו הערות מאפל המפחיתות את חומרת האיום הנשקף מ-Masque Attack.
המלצות עורכים
- iPadOS 17 פשוט הפך את תכונת האייפד האהובה עליי אפילו יותר טוב
- יש לך אייפון, אייפד או Apple Watch? אתה צריך לעדכן אותו עכשיו
- 11 תכונות ב-iOS 17 שאני לא יכול לחכות להשתמש באייפון שלי
- iOS 17: אפל לא הוסיפה את התכונה היחידה שחיכיתי לה
- iOS 17 הוא לא עדכון האייפון לו קיוויתי
