В декабре компания по кибербезопасности FireEye обнаружила ошибку в последней версии iOS от Apple, получившую название «Masque Attack», которая позволяет вредоносным приложениям заменять легитимные приложения с тем же именем, но не смог указать конкретные примеры эксплойта в использовать. С тех пор команда обнаружила три производные атаки — Masque Extension, Manifest Masque, Plugin Masque. - и, кроме того, выявил доказательства того, что Масковая атака использовалась для выдачи себя за популярные сообщения. Программы.
Обновлено Кайлом Виггерсом от 06.08.2015: Добавлены подробности о производных Masque Attack и доказательства использования эксплойта в дикой природе.
Рекомендуемые видео
Как Огненный Глаз Как объяснили несколько месяцев назад, оригинальные версии Masque Attack для iOS 7 и 8 позволяют хакерам устанавливать поддельные приложения на устройства iOS через электронную почту или текстовые сообщения, если имена приложений совпадают. Пока хакер присваивает ложному зараженному приложению то же имя, что и реальному, хакеры могут проникнуть на устройство. Конечно, пользователям iOS все равно придется загружать приложение из текстового сообщения или электронной почты, а не заходить непосредственно в App Store и искать то же приложение.
Однако если пользователи установят приложение по ссылке, предоставленной хакерами, вредоносная версия заберет поверх реального приложения на iPhone или iPad пользователя, где оно затем может украсть личные данные пользователя. информация. По словам FireEye, даже после того, как пользователи перезагрузят телефон, вредоносное приложение все равно будет работать. «Это очень мощная уязвимость, и ее легко использовать», — сказал старший научный сотрудник FireEye Тао Вэй. Рейтер.
Новые эксплойты
Другая группа исследователей из Тренд Микро обнаружил, что, поскольку многие приложения для iOS не имеют шифрования, ошибка Masque Attack также может быть нацелена на некоторые законные приложения. Хакеры могут получить доступ к конфиденциальным данным, которые не зашифрованы, из легальных приложений, которые уже существуют на телефоне. Конечно, чтобы это работало, пользователям все равно придется загружать приложение по ссылке или по электронной почте, а не из App Store. Другими словами, маска-атака, вероятно, все еще не затронет большинство пользователей, но это может стать плохой новостью для корпоративных пользователей, которые отправляют пользователям специальные, собственные приложения.
Но подвиги недавно обнаруженный FireEye не требуют таких ухищрений. Masque Extension использует преимущества расширений приложений iOS 8 — хуков, которые, по сути, позволяют приложениям «общаться» друг с другом — для получения доступа к данным в других приложениях. «Злоумышленник может побудить жертву установить собственное приложение […] и включить вредоносное расширение […] приложения на своем устройстве», — заявили в FireEye.
Другие эксплойты — Manifest Masque и Plugin Masque — позволяют хакерам перехватывать приложения и соединения пользователей. Manifest Masque, который был частично исправлен в iOS 8.4, может привести к повреждению и невозможности запуска даже основных приложений, таких как Health, Watch и Apple Pay. Потенциал Plugin Masque вызывает большее беспокойство — он представляет собой VPN связь и мониторы весь интернет-трафик.
Наблюдается в дикой природе
На хакерской конференции Black Hat в Лас-Вегасе. Исследователи FireEye заявили об уязвимости Masque Attack использовался для установки поддельных приложений для обмена сообщениями, имитирующих сторонние мессенджеры, такие как Фейсбук, WhatsApp, Skype и другие. Кроме того, они обнаружили, что клиенты итальянской компании по наблюдению Hacking Team, создатели Masque Attack, уже несколько месяцев используют эксплойт для тайного слежения за iPhone.
Доказательства появились из баз данных Hacking Team, содержимое которых было опубликовано хакером в прошлом месяце. Согласно внутренним электронным письмам компании, опубликованным FireEye, Hacking Team создала имитацию Apple Приложение Newsstand, способное загружать 11 дополнительных подражателей: вредоносные версии WhatsApp, Twitter, Фейсбук,
Однако, к счастью, риск заражения в будущем невелик — для эксплойта Hacking Team требовался физический доступ к целевым iPhone. Тем не менее, исследователь FireEye Чжаофэн Чен рекомендовал пользователям iPhone «обновить свои устройства до последней версии iOS и обратить пристальное внимание на способы загрузки своих приложений».
По данным компании FireEye, вскоре после того, как FireEye обнаружила ошибку Masque Attack, федеральное правительство выпустило предупреждение об этой уязвимости. Рейтер. В свете паники, вызванной правительством и сообщениями FireEye, Apple наконец опубликовала ответ СМИ об угрозе, исходящей от Masque Attack. Apple заверила пользователей iOS, что никто еще не пострадал от вредоносного ПО, и это всего лишь то, что обнаружили исследователи. Компания рекламировала встроенную безопасность iOS и заверяла пользователей, что с ними ничего не случится, пока они загружают приложения только напрямую из App Store.
«Мы разработали OS X и iOS со встроенными средствами безопасности, чтобы помочь защитить клиентов и предупредить их перед установкой потенциально вредоносного программного обеспечения», — заявил представитель Apple. Я больше. «Нам неизвестно ни о каких клиентах, которые действительно пострадали от этой атаки. Мы рекомендуем клиентам загружать приложения только из надежных источников, таких как App Store, и обращать внимание на любые предупреждения при загрузке приложений. Корпоративные пользователи, устанавливающие собственные приложения, должны устанавливать приложения с защищенного веб-сайта своей компании».
На момент написания этой статьи компания FireEye подтвердила, что Masque Attack может повлиять на любое устройство под управлением бета-версии iOS 7.1.1, 7.1.2, 8.0, 8.1 и 8.1.1, независимо от того, взломали ли вы свое устройство. Masque Attack и ее производные частично пропатчены в iOS 8.4, но пока пользователям рекомендуется воздержаться от скачивания любые приложения из источников, отличных от официального App Store, и прекратить загрузку приложений из всплывающих окон, электронных писем, веб-страниц или других внешних источников. источники.
Обновления:
Обновлено Мэлари Гоки от 21 ноября 2014 г.: Добавлен отчет исследователей, обнаруживших большую уязвимость в ошибке Masque Attack.
Обновлено Мэлари Гоки от 14 ноября 2014 г.: Добавлены комментарии Apple, не учитывающие серьезность угрозы, исходящей от Masque Attack.
Рекомендации редакции
- iPadOS 17 сделал мою любимую функцию iPad еще лучше
- У вас есть iPhone, iPad или Apple Watch? Вам необходимо обновить его прямо сейчас
- 11 функций iOS 17, которые мне не терпится использовать на своем iPhone
- iOS 17: Apple не добавила ту функцию, которую я ждал
- iOS 17 — это не то обновление iPhone, на которое я надеялся
