Masque Attack wykorzystuje urządzenia z systemem iOS za pośrednictwem aplikacji

W grudniu firma zajmująca się cyberbezpieczeństwem FireEye odkryła błąd w najnowszej wersji systemu iOS firmy Apple, nazwanej „Masque Attack”, który pozwala złośliwym aplikacjom na zastępowanie legalnych aplikacji o tej samej nazwie, ale nie był w stanie wskazać konkretnych przykładów exploita w używać. Od tego czasu zespół odkrył trzy ataki pochodne — Masque Extension, Manifest Masque i Plugin Masque — a ponadto ujawniło dowody na to, że atak na maskę został wykorzystany do podszywania się pod popularne komunikaty aplikacje.

Zaktualizowano 08-06-2015 przez Kyle'a Wiggersa: Dodano szczegóły dotyczące pochodnych Masque Attack i dowody wykorzystania exploitów w środowisku naturalnym.

Polecane filmy

Jak Ogniste Oko wyjaśniono kilka miesięcy temu, oryginalne Masque Attack iOS 7 i 8 umożliwiają hakerom instalowanie fałszywych aplikacji na urządzeniach z systemem iOS za pośrednictwem poczty e-mail lub SMS-ów, jeśli nazwy aplikacji są zgodne. Dopóki haker nada fałszywej, zainfekowanej aplikacji taką samą nazwę jak prawdziwa, hakerzy mogą zinfiltrować urządzenie. Oczywiście użytkownicy iOS nadal muszą pobrać aplikację za pomocą wiadomości SMS lub e-maila, zamiast przechodzić bezpośrednio do App Store i szukać tej samej aplikacji.

Jeśli jednak użytkownicy zainstalują aplikację, korzystając z łącza dostarczonego przez hakerów, zostanie przejęta złośliwa wersja nad prawdziwą aplikacją na iPhonie lub iPadzie użytkownika, skąd może następnie ukraść jego dane osobowe Informacja. FireEye twierdzi, że nawet po ponownym uruchomieniu telefonu złośliwa aplikacja będzie nadal działać. „Jest to bardzo potężna luka, którą można łatwo wykorzystać” – powiedział Tao Wei, starszy pracownik naukowy FireEye, według Reutera.

Nowe exploity

Kolejna grupa badaczy z Trend Mikro odkryłem, że ponieważ wiele aplikacji na iOS nie ma szyfrowania, błąd Masque Attack może również atakować niektóre legalne aplikacje. Hakerzy mogą uzyskać dostęp do poufnych danych, które nie są zaszyfrowane, pochodzących z legalnych aplikacji, które już istnieją w telefonie. Oczywiście, aby to zadziałało, użytkownicy nadal muszą pobrać aplikację za pomocą łącza lub e-maila, a nie z App Store. Innymi słowy, atak Masque prawdopodobnie w dalszym ciągu nie dotknie większości użytkowników, ale może to być zła wiadomość dla użytkowników korporacyjnych, którzy wysyłają użytkownikom specjalne, samodzielnie opracowane aplikacje.

Ale exploity nowo odkryte przez FireEye nie wymagają takiego dopracowania. Masque Extension korzysta z rozszerzeń aplikacji iOS 8 — zaczepów, które w istocie pozwalają aplikacjom „rozmawiać” ze sobą — w celu uzyskania dostępu do danych w innych aplikacjach. „Napastnik może nakłonić ofiarę do zainstalowania własnej aplikacji […] i umożliwienia złośliwego rozszerzenia […] aplikacji na jej urządzeniu” – twierdzi FireEye.

Inne exploity — Manifest Masque i Plugin Masque — umożliwiają hakerom przejmowanie aplikacji i połączeń użytkowników. Manifest Masque, który został częściowo załatany w iOS 8.4, może powodować uszkodzenie nawet podstawowych aplikacji, takich jak Health, Watch i Apple Pay, i uniemożliwić ich uruchomienie. Potencjał Plugin Masque jest bardziej niepokojący — udaje VPN połączenie i monitory cały ruch internetowy.

Obserwowany na wolności

Na konferencji hakerów Black Hat w Las Vegas Badacze FireEye stwierdzili lukę w zabezpieczeniach Masque Attack był używany do instalowania fałszywych aplikacji do przesyłania wiadomości imitujących komunikatory innych firm, takich jak Facebook, WhatsApp, Skype i inne. Ponadto ujawnili, że klienci włoskiej firmy monitorującej Hacking Team, pomysłodawców Masque Attack, od miesięcy używali tego exploita do potajemnego monitorowania iPhone'ów.

Dowody pojawiły się w bazach danych Hacking Team, których zawartość została opublikowana przez hakera w zeszłym miesiącu. Według wewnętrznych e-maili firmy ujawnionych przez FireEye, zespół Hacking stworzył imitację narzędzia Apple Aplikacja Newstand umożliwiająca pobranie 11 dodatkowych naśladowców: złośliwych wersji WhatsApp, Twittera, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram i VK. Aplikacje rejestrowały czaty, wiadomości, zdjęcia i posty.

Na szczęście ryzyko przyszłej infekcji jest niskie — exploit zespołu hakerskiego wymagał fizycznego dostępu do docelowych iPhone'ów. Mimo to badacz FireEye, Zhaofeng Chen, zalecił użytkownikom iPhone'a „zaktualizowanie swoich urządzeń do najnowszej wersji iOS i zwracanie szczególnej uwagi na sposoby pobierania aplikacji”.

Jak podaje FireEye, wkrótce po ujawnieniu błędu Masque Attack rząd federalny wydał ostrzeżenie dotyczące tej luki. Reutera. W świetle paniki wywołanej rządem i raportami FireEye, Apple w końcu udzielił mediom odpowiedzi na temat zagrożenia, jakie stwarza Masque Attack. Apple zapewnił użytkowników iOS, że złośliwe oprogramowanie nie dotknęło jeszcze nikogo i jest to po prostu coś, co odkryli badacze. Firma zachwalała wbudowane zabezpieczenia systemu iOS i zapewniała użytkowników, że nic im się nie stanie, jeśli będą pobierać aplikacje wyłącznie bezpośrednio z App Store.

„Zaprojektowaliśmy systemy OS X i iOS z wbudowanymi zabezpieczeniami, aby chronić klientów i ostrzegać ich przed zainstalowaniem potencjalnie złośliwego oprogramowania” – powiedział rzecznik Apple iWięcej. „Nie znamy żadnych klientów, których faktycznie dotknął ten atak. Zachęcamy klientów, aby pobierali aplikacje wyłącznie z zaufanych źródeł, takich jak App Store, i zwracali uwagę na wszelkie ostrzeżenia podczas pobierania aplikacji. Użytkownicy korporacyjni instalujący aplikacje niestandardowe powinni instalować aplikacje z bezpiecznej strony internetowej swojej firmy.

W chwili pisania tego tekstu firma FireEye potwierdziła, że ​​Masque Attack może wpłynąć na każde urządzenie z systemem iOS 7.1.1, 7.1.2, 8.0, 8.1 i 8.1.1 beta, niezależnie od tego, czy na urządzeniu wykonano jailbreak. Masque Attack i jego pochodne zostały częściowo załatane w iOS 8.4, ale w międzyczasie użytkownikom zaleca się powstrzymanie się od pobierania żadnych aplikacji ze źródeł innych niż oficjalny App Store i zaprzestania pobierania aplikacji z wyskakujących okienek, wiadomości e-mail, stron internetowych lub innych obcych źródła.

Aktualizacje:

Zaktualizowano 21.11.2014 przez Malarie Gokey: Dodano raport badaczy, którzy odkryli większą lukę w błędzie Masque Attack.

Zaktualizowano 14.11.2014 przez Malarie Gokey: Dodano komentarze firmy Apple, w których pominięto wagę zagrożenia stwarzanego przez Masque Attack.

Zalecenia redaktorów

  • iPadOS 17 właśnie sprawił, że moja ulubiona funkcja iPada stała się jeszcze lepsza
  • Masz iPhone'a, iPada lub Apple Watch? Musisz go zaktualizować już teraz
  • 11 funkcji w iOS 17, których nie mogę się doczekać, aby użyć ich na moim iPhonie
  • iOS 17: Apple nie dodał jednej funkcji, na którą czekałem
  • iOS 17 nie jest aktualizacją iPhone'a, na którą liczyłem