| 7 ноября 2014 г. — 5:19 PT
Apple заблокировала запуск приложений для Mac, зараженных вредоносным ПО WireLurker, ранее отозвав сертификаты безопасности, чтобы предотвратить их установку на новых устройствах. WireLurker мог заражать не взломанные устройства iOS при подключении к Mac с запущенным одним из скомпрометированных приложений. Было затронуто более 400 приложений для Mac в стороннем китайском магазине приложений.
В письменном заявлении представитель Apple сказал:
Мы осведомлены о вредоносном программном обеспечении, доступном с сайта загрузки, нацеленном на пользователей в Китае, и мы заблокировали выявленные приложения, чтобы предотвратить их запуск. Как всегда, мы рекомендуем пользователям загружать и устанавливать программное обеспечение из доверенных источников.
Однако исследователь безопасности утверждает, что другие злоумышленники смогут легко использовать ту же самую уязвимость…
Джонатан Здзиарски ответил на белую книгу Palo Alto Networks постом в блоге, в котором он утверждает, что, хотя WireLurker было легко заблокировать, это может быть не так для других атак, использующих тот же подход.
Большая проблема здесь не сам WireLurker; WireLurker, похоже, находится в зачаточном состоянии и в основном представляет собой набор скриптов, файлов свойств и двоичных файлов, скрепленных вместе на рабочем столе, что облегчает его обнаружение. Настоящая проблема в том, что конструкция механизма сопряжения iOS позволяет более изощренным вариантам этого подхода легко превращаться в оружие […]
Хотя WireLurker выглядит довольно любительским, АНБ или GCHQ, или любой другой изощренный злоумышленник может легко использовать гораздо более эффективную (и опасную) атаку, подобную этой.
Проблема, объясняет он, заключается в степени власти, предоставленной доверенным устройствам. Как только вы сопрягаете, скажем, iPhone и Mac и соглашаетесь на то, чтобы каждое из них стало доверенным устройством, возможности Mac влиять на iPhone практически безграничны. Здзиарски считает, что есть три простых шага, которые Apple должна предпринять, чтобы снизить риски.
Во-первых, говорит он, пользователям нужно предоставлять гораздо более конкретные предупреждения об опасностях установки неподписанных приложений. В настоящее время простое нажатие «ОК» — это все, что требуется, чтобы Mac установил новое приложение на устройство iOS.
Во-вторых, Apple должна отключить режим предприятия по умолчанию. Режим предприятия предназначен для того, чтобы позволить компаниям легко развертывать собственное программное обеспечение на устройствах iOS, но функция, используемая небольшим меньшинством пользователей, ставит под угрозу всех.
Подавляющему большинству пользователей, не являющихся корпоративными, никогда не понадобится ни одно корпоративное приложение, и любая попытка сделать это должна завершиться неудачей. Так почему бы Apple не заблокировать эту возможность, если она явно не включена [с помощью] переключателя в настройках.
В-третьих, приложения для Mac должны запрашивать у пользователя разрешение на установку программного обеспечения на устройства iOS, при этом по умолчанию разрешения предоставляются только iTunes и Xcode.
Apple должна управлять доступом к «Надежным отношениям сопряжения» с устройствами так же, как она управляет разрешениями доступа к контактам и геолокации. Приложение должно запрашивать разрешение на доступ к этим привилегированным данным.
В блоге также более подробно рассматриваются технические аспекты дополнительных шагов, которые Apple могла бы предпринять, но вышеизложенное, по его словам, было бы легко реализовать.