| 10 ноября 2014 г. — 10:20 PT
На прошлой неделе сообщалось, что пользователи Mac и iOS в Китае стали целью нового вредоносного ПО под названием WireLurker, в результате чего Apple подтвердила проблему безопасности и заблокировала затронутые приложения. Всего через несколько дней фирма по исследованию мобильной безопасности FireEye сообщает, что обнаружила серьезную уязвимость безопасности iOS, которая, по их утверждению, представляет гораздо большую угрозу для пользователей Apple, чем WireLurker.
По данным FireEye, новая так называемая «Masque Attack» была обнаружена в июле и существует из-за того, что iOS не применяет одинаковые сертификаты для приложений с одинаковым идентификатором пакета. Таким образом, злоумышленник может заманить пользователя iPhone, iPad или iPod touch установить приложение с обманчивым названием, например «New Flappy Bird» или «Angry Bird Update», которое, unbeknownst to the user, на самом деле является вредоносным. Сообщается, что только предустановленные приложения, такие как Mobile Safari, не подвержены риску.
«Masque Attacks могут заменять подлинные приложения, такие как банковские и почтовые приложения, с помощью вредоносного ПО через Интернет», — утверждает FireEye. «Это означает, что злоумышленник может украсть банковские данные пользователя, заменив подлинное банковское приложение вредоносным с идентичным пользовательским интерфейсом. Удивительно, но вредоносное ПО может даже получить доступ к локальным данным исходного приложения, которые не были удалены при замене исходного приложения. Эти данные могут содержать кэшированные электронные письма или даже токены входа, которые вредоносное ПО может использовать для прямого входа в учетную запись пользователя».
FireEye утверждает, что уведомила Apple об этой уязвимости, которая затрагивает как устройства без джейлбрейка, так и с джейлбрейком, работающие под управлением iOS 7.1.1 до iOS 8.1.1 beta, 26 июля. Фирма по исследованию мобильной безопасности утверждает, что Masque Attack имеет серьезные последствия для безопасности, включая возможность для злоумышленников «имитировать интерфейс входа в систему исходного приложения для кражи учетных данных жертвы» и «использовать Masque Attacks для обхода обычной песочницы приложений, а затем получать права root, атакуя известные уязвимости iOS, такие как те, которые использовала команда Pangu».
Pangu — это китайская команда, стоящая за непривязанным джейлбрейком iOS 8 для iPhone, iPad и iPod touch, выпущенным в прошлом месяце.
FireEye предоставила пример этой уязвимости безопасности на основе серии скриншотов выше, показывая, что подлинная копия приложения Gmail (рис. A и B) была заменена вредоносной версией (рис. D, E и F) путем привлечения пользователя к установке обновления «New Flappy Bird» через корпоративное/ad-hoc предоставление (рис. C). В демонстрационных целях FireEye поместила слова «yes, you are pwned» в верхней части вредоносного приложения Gmail (рис. F) и доказала, что они смогли загрузить все локально кэшированные электронные письма на удаленный сервер.
В качестве общего правила рекомендуется, чтобы пользователи iOS избегали установки приложений вне App Store в качестве меры предосторожности — особенно от ненадежных разработчиков.
Мы обратились к Apple за комментарием и обновим эту публикацию, если получим ответ.
[tweet 532032185063464962 hide_media=’true’ align=’center’]