Червейче в ябълката

[dedil]

Червейче в ябълката

Сигурността в продуктите на Apple се отдалечи от почти безупречното си ниво

Мартин Дешев

Откакто се появи през 2007 г., iPhone имаше един много силен коз - мобилната платформа iOS почти нямаше проблеми с вируси, троянски коне и други зловредни кодове. Само за няколко дни обаче почти безупречното ниво на сигурност беше разклатено от два отделни и сериозни проблема.

Продуктите на Apple традиционно са застрашени от много малко вируси. Затворената екосистема на компанията, която се следи строго, също прави прокрадването на зловредни кодове трудно. Но голямата популярност на продуктите на компанията, особено iPhone, съвсем естествено ги прави мишена за хакерите. Дълго време под риск бяха единствено потребителите, които хакваха своите iPhone-и чрез т.нар. jailbreak. Той им позволява да инсталират приложения от външни източници, не само от App Store. Новите два проблема за пръв път поставят под риск всеки притежател на iPhone или iPad.

Скрити в недрата

Първата уязвимост е Wirelurker. Тя не е кой знае колко сериозна заплаха, но загатва какво е възможно в иначе затворената и строго контролирана среда на iOS. Wirelurker заразява компютри и след това чака, докато с тях не бъде свързано iOS устройство чрез USB. За хакнатите с jailbreak, вирусът инсталира код, който инфектира приложенията за мобилни разплащания и извлича данни. За устройствата, които не са модифицирани от притежателите им, просто инсталира приложение за комикси. Тази цел е по-скоро тест, за да провери дали инсталация е възможна и в iPhone, който не е "избягал от затвора". В случая Apple реагира бързо. Компанията обяви, че е проследила приложенията, които са засегнати, и ги е блокирала. Проблемът се проявява най-вече в Китай и за потребители, които теглят софтуер от нерегламентирани източници. В резултат на бързата намеса Wirelurker беше почти напълно изчистен за около ден.

Оказва се обаче, че Apple дълго време не е реагирала по друг проблем. Компанията за киберсигурност FireEye обяви, че е открила друга, доста по-сериозна уязвимост в iOS. Атаката се казва Masque и практически позволява на хакерите да инсталират клонинги на популярни приложения в iOS. Проблемът засяга версиите на iOS от 7.1.1 до 8.1.1 beta включително. Той не се влияе и от това дали дадено устройство е хакнато чрез jailbreak или не. Освен това може да се прилага както чрез USB връзка, така и по безжичен път. От FireEye обявяват, че са уведомили Apple за проблема още на 26 юли т.г. Реакция от компанията обаче не е имало. С появата на Wirelurker инженерите на FireEye са забелязали, че той използва подобен метод, и са решили да публикуват информацията, за да предупредят потребителите и компаниите.

Masque има доста по-сериозен и опасен потенциал от Wirelurker. Всичко започва с опит потребителят на устройството да се прилъже да инсталира приложение от външен източник. Това може да става чрез реклама в друго приложение, онлайн реклама, имейл, SMS с линк. Обикновено се дава предложение за инсталиране на нова версия на популярна игра или пък промоция на иначе платено приложение. При посещаването на линка обаче не се инсталира предложеното приложение. Вместо това на устройството се "настанява" клонинг на вече инсталирана програма, например Gmail или други, които са качени чрез App Store. Според инженерите на FireEye това е възможно чрез корпоративните профили на iOS, които се използват при бета тестове, и от корпорациите за разпространение на служебни приложения без необходимост те да минават през App Store. Необходимо е единствено клонираното приложение да има същия идентификационен код като оригиналното.

Последствията са логични. Потребителят дори не разбира, че устройството му е компрометирано. То обаче вече може да извлича цялата информация, до която оригиналът има достъп. Ако е банково приложение, това означава сдобиване с банковите данни на потребителя. Ако е браузър, може да разбере имената и паролите на акаунтите му. От FireEye са открили, че при замяната на приложенията iOS не изтрива натрупаната кеширана информация. Така клонингът може да се сдобие с имена и пароли дори без да чака потребителят да ги въвежда.

Лошо стопанство

Причината за проблема, изглежда, се корени в Apple. Компанията не преглежда и не одобрява въпросните корпоративни профили, посочват от FireEye. Това означава, че хакерите могат лесно да ги използват за атаки към iOS. Чрез Masque може да се заобикаля дори и т.нар. пясъчник, или изолация на приложенията, която не им дава системни правомощия. Атаката обаче дава тази възможност чрез използването на вече известни уязвимости в iOS. А такива не липсват. Само с пускането iOS 8 Apple обяви, че коригира 53 уязвимости в платформата. Част от тях позволяват точно получаването на администраторски привилегии, достъп до ядрото на системата и възможност за стартиране на код от разстояние. Повечето от тези проблеми бяха открити от Google Project Zero - инициатива на интернет гиганта за откриване на уязвимости в популярни софтуерни платформи.

"Погледнато от разстояние, екосистемата все още е в добро състояние. Но това е първата врата, която виждаме да се отваря в света на iOS", коментира пред онлайн изданието The Verge Райън Олсън, директор в компанията Palo Alto Networks, която откри Wirelurker. Най-голямата защита на iOS е App Store. Там контролът е много строг и преминаването на зловреден код е изключително трудно. Именно затова хакерите търсят начини да заобикалят App Store напълно. И, изглежда, вече започват да ги намират. А това ще създаде проблем за бизнеса, коментира Олсън. Следващата вълна от атаки може да е насочена към сертификатите на дадени компании. Чрез тях хакерите биха могли да разпространяват зловреден код сред устройствата на служителите на дадена компания, без никой да разбира за това. "Не мисля, че това може просто да се реши с един ъпдейт", коментира Олсън.

Според специалиста по киберсигурност Джонатан Здзиарски, е необходимо да има "некорпоративен" режим за iPhone. Много малка част от смартфоните на Apple реално имат нужда от инсталиране на корпоративен софтуер, който пък изисква въпросните сертификати, които се оказват уязвими. Затова трябва режимът да е деактивиран по подразбиране, което ще увеличи сигурността за потребителите. Има и предложения за използване на система за валидиране на приложения подобно на банковите.

Всъщност предложенията са много, но Apple не дава вид, че дори им обръща внимание. Компанията досега не е имала сериозни проблеми със сигурността на продуктите си, като изключим хакнатите акаунти в iCloud на холивудски звезди, което доведе до публикуването на техни интимни снимки в интернет. Тогава тя се оправда, че случаят е изолиран и атаката е към конкретни личности и няма опасност за останалите потребители. В Купертино обаче вече ще трябва да се замислят по-сериозно, защото тези първи пукнатини ще стимулират хакерите да продължават да търсят нови и нови възможности да се възползват от уязвимостите в платформата.

Оригиналния материал capital.bg

[Alxx®]

Този "автор" е толкова назад с материала, че се чудя защо изобщо го коментирам. По същество бих казал, че тези заплахи са резултат на "кой ми ср@ в гащите?", т.е. самонаиграване от лакомия за аванта софтуер...

...безупречното ниво на сигурност беше разклатено...

Ако не си го разклатите сами - няма как да стане! Ще цитирам бай Тошо:

"- И на коча м*дете се клатят, но не падат!"

[dedil]

Както добре знаеш не съм наясно с тази материя.

Да разбирам ли, че ако не се джейва дивайса няма начин да имаш описани по-горе проблеми?

[The Shaman]

Джейла отдавна не е фактор, що се отнася до "аванта"!

[Alxx®]

Не е проблем джейлът, сам по себе си. Даже би ти направил телефона по - сигурен, веднъж смениш ли си администраторската парола(която по подразбиране е еднаква на всички айфони). Проблемът е в лакомията за аванта, инсталирането на всякакви шитни в името на авантата и съгласяването да качваш чужди сертификати "обогатени" с "подаръци"(за такава простотия не ти трябва джейл). По принцип това беше типично за андроид юзърите - разни блекмаркети с кой знае какви приложения, бъкани със спайуеър и троянци. Сега го има и за iOS, но, както се сещаш - не касае нито мене, нито тебе. Авантаджиите да му мислят.

[Anton]

Apple със сигурност ще направят каквото трябва, за да елиминират "проблема" с корпоративните профили именно, защото са Apple, а не Google. Статията обаче е умопомрачителен тъпизъм. 1052 думи заради две уязвимости като едната кажи речи зависи от другата. И отново Apple е погребана. Тия от Капитал що не се придържат към темата с КТБ...там по-добре се справят.

[dedil]

Мрежата гъмжи от подобни материали. Разбира се, идентично е положението и с положителните такива. Сами знаете, че всичко зависи от заданието (поръчката).

Що се отнася до Капитал, както при всяка казионна медиа положението е просто - "каквото каже шефа". Но дълбоко се съмнявам, че водят някаква политика срещу Apple, по-скоро това е мнението на автора.

[dedil]

Ми Вие, Ваше Височество не я четете

Автора е на втория ред, стигаш до там и веднага "превключваш" на друг материал, който е "цветя и рози" и така до края на света…

[topuzaka]

Apple със сигурност ще направят каквото трябва, за да елиминират "проблема" с корпоративните профили именно, защото са Apple, а не Google. Статията обаче е умопомрачителен тъпизъм. 1052 думи заради две уязвимости като едната кажи речи зависи от другата. И отново Apple е погребана. Тия от Капитал що не се придържат към темата с КТБ...там по-добре се справят.

Компанията досега не е имала сериозни проблеми със сигурността на продуктите си, като изключим хакнатите акаунти в iCloud на холивудски звезди, което доведе до публикуването на техни интимни снимки в интернет.

А този "проблем"? И той ли е по вина на потребителите?

[johnnybravo]

Това с хакнатите акаунти така и не се доказа. Когато се появи въпросната новина, пишеше, че някои от звездите дори не са с "i" устройства. Получава се малко като със вица "сестра ти е ку*ва!!!" Нищо, че нямаш сестра.

Преди дни тук във форума се появи тема за фалшиви писма уж от Apple, в които те карат да си направиш update на инфото в профила си, като по този начин си предоставяш всички данни. Възможно е да са станали жертва и на подобна измама, но не виждам кой освен потребителят е виновен за подобни "пробиви"

Sent from my iPhone using Tapatalk