| Mar 17 2016 — 4:09 am PT
iPhone, не подвергшиеся джейлбрейку, обычно почти невосприимчивы к вредоносному ПО благодаря тому, что Apple проверяет каждое приложение перед его размещением в App Store. До сих пор вредоносное ПО использовало корпоративные сертификаты, предназначенные для распространения приложений среди собственных сотрудников компаний. Однако компания Palo Alto Networks обнаружила новый тип вредоносного ПО, которое может заражать iPhone, используя уязвимость в механизме DRM Apple.
AceDeceiver — это первое вредоносное ПО для iOS, которое мы видели, использующее определенные проектные недочеты в механизме защиты DRM Apple — а именно FairPlay — для установки вредоносных приложений на устройства iOS независимо от того, подвергались ли они джейлбрейку.
В настоящее время AceDeceiver использует геотег, чтобы активироваться только тогда, когда пользователь находится в Китае, но простое изменение может позволить ему заражать iPhone в других местах…
Используемый механизм известен как FairPlay Man-in-the-Middle. Этот подход часто используется для распространения пиратских приложений для iOS, но впервые он был обнаружен при установке вредоносного ПО.
Apple позволяет пользователям покупать и загружать приложения для iOS из App Store через клиент iTunes, работающий на их компьютере. Затем они могут использовать компьютеры для установки приложений на свои устройства iOS. Устройства iOS будут запрашивать код авторизации для каждого установленного приложения, чтобы доказать, что приложение действительно было приобретено. При атаке FairPlay MITM злоумышленники покупают приложение в App Store, затем перехватывают и сохраняют код авторизации. После этого они разрабатывают программное обеспечение для ПК, которое имитирует поведение клиента iTunes и обманывает устройства iOS, заставляя их поверить, что приложение было приобретено жертвой. Таким образом, пользователь может устанавливать приложения, за которые он фактически не платил, а создатель программного обеспечения может устанавливать потенциально вредоносные приложения без ведома пользователя.
Хотя Palo Alto Networks уведомила Apple, которая удалила приложения, это не остановит работу атаки, поскольку приложениям достаточно появиться в App Store один раз, чтобы код авторизации работал.
Хорошая новость заключается в том, что пока риску подвергаются только пользователи ПК с Windows. AceDeceiver полагается на обман пользователей iTunes для установки вспомогательного клиента, который действует как посредник. Но Palo Alto Networks утверждает, что этот механизм является настолько простым способом установки вредоносного ПО, что другие, вероятно, скопируют этот подход.
Для пользователей Mac лучшим советом, как всегда, является настройка параметров безопасности, разрешающая установку только приложений из Mac App Store или, в крайнем случае, из Mac App Store и от идентифицированных разработчиков. Эту настройку можно найти в меню Apple, в разделе «Системные настройки» > «Защита и безопасность» > «Основные».
Via TNW