
Компания FireEye, занимающаяся вопросами информационной безопасности, обнаружила в iOS серьезнейшую уязвимость, которая получила название Masque Attack. Ей подвержены устройства на базе iOS 7.1.1, 7.1.2, 8.0, 8.1 и 8.1.1 beta.
Жертва Masque Attack получает сообщение со ссылкой на зараженное приложение и игру — например, новую версию Flappy Bird (которой нет в App Store). Вирус заменяет собой какое-либо стороннее приложение, но пользователь ничего не замечает — оно выглядит и функционирует точно так же, как настоящее. В процессе работы Masque Attack перехватывает и отправляет на сервер злоумышленника как новые данные в приложении так и локальный кэш, который остался после переустановки. В случае с Gmail это может быть переписка, а в случае с банковскими приложениями — логины, PIN-коды и история операций.
Masque Attack использует слабые места в безопасности корпоративных учетных записей и аккаунтов разработчиков, которым позволено устанавливать программы не из App Store. В силу особенностей работы с этими аккаунтами iOS не проверяет, соответствует ли цифровая подпись устанавливаемого файла подписи аутентичного приложения. Стоковые приложения iOS (Safari, почта, календарь и так далее) таким образом подменить нельзя, однако злоумышленник может деактивировать защиту iOS через API и провести более мощную атаку: например, установить фоновый мониторинг некоторых процессов, перехватить логин и пароль от iCloud, украсть Apple ID и предоставить зараженному приложению root-доступ к файловой системе.
Специалисты FireEye обнаружили эту уязвимость еще в июле и тут же сообщили о ней Apple, однако компания никак не отреагировала.
Посмотреть, на что способно приложение Gmail с кодом Masque Attack, можно на видео ниже:
И хотя специалисты FireEye не зафиксировали успешно проведенных атак, Masque Attack можно считать более опасной уязвимостью, чем обнаруженный недавно вирус WireLurker, который заражает смартфоны и планшеты при подключении к компьютеру через USB. Обезопасить себя от Masque Attack можно, следуя простому правилу — не устанавливать приложения игры ниоткуда, кроме App Store.
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
Что это за API? Что-то ни разу не встречал, да и смысл такого API?
С установкой всё понятно, а про API тут сказками попахивает.
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
"Therefore, the attacker can leverage iOS private APIs..."
Ничего кардинально нового как я понял нету, из мухи слона раздули, по крайней мере в переводе. Приложения так всю жизнь ставятся, приватные API тоже всегда можно было использовать, если приложение не для эпстора.
То, что bundle identifier не проверяться это конечно досадно.
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
https://developer.apple.com/programs/ios/enterprise/gettingstarted/
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
А зачем кликать на ссылки сообщений от незнакомого контакта? Или даже знакомого, но текстом "Я такие кроссовки купил по дешевке! Кликай сюда!"
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides
Сообщение отправлено из мобильного приложения iGuides