У грудні компанія з кібербезпеки FireEye виявила помилку в останній версії iOS від Apple під назвою «Masque Attack», яка дозволяє шкідливим програмам замінювати легітимні програми з такою ж назвою, але не вдалося вказати на конкретні приклади експлойту в використовувати. Відтоді команда виявила три похідні атаки — Masque Extension, Manifest Masque, Plugin Masque — а також виявив докази того, що Masque Attack використовувався для імітації популярних повідомлень програми.
Оновлено 08-06-2015 Кайлом Віггерсом: Додано деталі похідних від Masque Attack і докази експлойту в дикій природі.
Рекомендовані відео
як FireEye Як пояснювалося кілька місяців тому, оригінальна Masque Attack iOS 7 і 8 дозволяє хакерам встановлювати підроблені програми на пристрої iOS за допомогою електронної пошти або текстових повідомлень, якщо назви програм збігаються. Поки хакер дає фальшивому зараженому додатку таке ж ім’я, як справжнє, хакери можуть проникнути на пристрій. Звичайно, користувачам iOS все одно доведеться завантажувати програму з текстового повідомлення чи електронної пошти, а не переходити безпосередньо в App Store і шукати ту саму програму.
Однак, якщо користувачі встановлюють програму за посиланням, наданим хакерами, шкідлива версія приймає над справжньою програмою на iPhone або iPad користувача, звідки вона може викрасти особисті дані користувача інформації. Навіть після того, як користувачі перезапустять телефон, шкідлива програма все одно працюватиме, повідомляє FireEye. «Це дуже потужна вразливість, і її легко використати», — сказав старший науковий співробітник FireEye Тао Вей. Reuters.
Нові подвиги
Інша група дослідників с Trend Micro виявив, що оскільки багато програм для iOS не мають шифрування, помилка Masque Attack також може націлюватися на деякі законні програми. Хакери можуть отримати доступ до конфіденційних даних, які не зашифровані, із законних програм, які вже існують на телефоні. Звичайно, щоб це працювало, користувачі все одно повинні завантажити програму за посиланням або електронною поштою, а не з App Store. Іншими словами, Masque Attack все ще, ймовірно, не вплине на більшість користувачів, але це може бути поганою новиною для корпоративних користувачів, які надсилають користувачам спеціальні, домашні програми.
Але подвиги нещодавно відкрита FireEye не вимагають такого фінішування. Masque Extension використовує переваги розширень додатків iOS 8 — хуків, які, по суті, дозволяють додаткам «розмовляти» один з одним — щоб отримати доступ до даних в інших додатках. «Зловмисник може спонукати жертву встановити власну програму […] і активувати зловмисне розширення програми […] на його/її пристрої», — заявили у FireEye.
Інші експлойти — Manifest Masque та Plugin Masque — дозволяють хакерам викрадати програми та з’єднання користувачів. Manifest Masque, який було частково виправлено в iOS 8.4, може зробити навіть такі основні програми, як Health, Watch і Apple Pay, пошкодженими та неможливими для запуску. Потенціал Plugin Masque викликає більше занепокоєння — він представляє собою VPN з'єднання і монітори весь інтернет-трафік.
Спостерігається в дикій природі
На хакерській конференції Black Hat у Лас-Вегасі Дослідники FireEye заявили про вразливість Masque Attack використовувався для встановлення фальшивих додатків для обміну повідомленнями, які імітують сторонні месенджери, як-от Facebook, WhatsApp, Skype та ін. Крім того, вони виявили, що клієнти італійської компанії стеження Hacking Team, автори Masque Attack, використовували експлойт протягом місяців для таємного моніторингу iPhone.
Докази з’явилися з баз даних Hacking Team, вміст яких був опублікований хакером минулого місяця. Відповідно до внутрішніх електронних листів компанії, оприлюднених FireEye, Hacking Team створила імітацію Apple Додаток Newstand здатний завантажувати 11 додаткових копій: шкідливі версії WhatsApp, Twitter, Facebook,
Проте, на щастя, ризик зараження в майбутньому низький — експлойт Hacking Team потребував фізичного доступу до цільових iPhone. Тим не менш, дослідник FireEye Чжаофен Чен рекомендував користувачам iPhone «оновити свої пристрої до останньої версії iOS і звернути пильну увагу на шляхи завантаження своїх програм».
Незабаром після того, як FireEye виявив помилку Masque Attack, федеральний уряд випустив попередження про вразливість, відповідно до Reuters. У світлі паніки, викликаної урядом і звітами FireEye, Apple нарешті дала відповідь ЗМІ щодо загрози, яку представляє Masque Attack. Apple запевнила користувачів iOS, що ще ніхто не постраждав від шкідливого програмного забезпечення, і це просто те, що виявили дослідники. Компанія рекламувала вбудований захист iOS і запевнила користувачів, що з ними нічого не трапиться, поки вони завантажують програми лише безпосередньо з App Store.
«Ми розробили OS X та iOS із вбудованими засобами безпеки, щоб захистити клієнтів і попередити їх перед встановленням потенційно шкідливого програмного забезпечення», — сказав представник Apple. Я більше. «Нам не відомо про жодного клієнта, який насправді постраждав від цієї атаки. Ми рекомендуємо клієнтам завантажувати програми лише з перевірених джерел, як-от App Store, і звертати увагу на будь-які попередження під час завантаження програм. Корпоративні користувачі, які встановлюють спеціальні програми, повинні встановлювати програми з безпечного веб-сайту своєї компанії».
На момент написання цієї статті FireEye підтвердила, що Masque Attack може вплинути на будь-який пристрій під керуванням iOS 7.1.1, 7.1.2, 8.0, 8.1 і 8.1.1 beta, незалежно від того, чи ви зламали свій пристрій. Masque Attack і його похідні були частково виправлені в iOS 8.4, але тим часом користувачам рекомендується утриматися від завантаження будь-які програми з джерел, відмінних від офіційного App Store, і припинити завантаження програм зі спливаючих вікон, електронних листів, веб-сторінок або інших іноземних джерела.
Оновлення:
Оновлено 21.11.2014 Маларі Гокі: Додано звіт дослідників, які виявили більшу вразливість у помилці Masque Attack.
Оновлено 14.11.2014 Маларі Гокі: Додано коментарі від Apple, які знижують серйозність загрози, яку представляє Masque Attack.
Рекомендації редакції
- iPadOS 17 зробив мою улюблену функцію iPad ще кращою
- Маєте iPhone, iPad або Apple Watch? Вам потрібно оновити його прямо зараз
- 11 функцій в iOS 17, які я не можу дочекатися, щоб використовувати на своєму iPhone
- iOS 17: Apple не додала єдину функцію, на яку я чекав
- iOS 17 — це не те оновлення для iPhone, на яке я сподівався
