Перейти к содержанию
Вадим Волков

Червивые яблочки [БЕЗ JailBreak]

Recommended Posts

Вадим Волков

Лично у меня "яблочных" устройств нет, но их владельцам возможно будет интересно: 

 

Из блога компании "Digital Security"

 

Историями про вредоносное ПО для ОС Android никого уже сегодня не удивить, разве только про rootkit-технологии или про новые концепты, заточенные под новое runtime-окружение ART. C вредоносным ПО для iOS противоположная ситуация: о нем если кто и слышал, то, как правило, только в контексте jailbreak. В 2014 году был вообще бум таких программ (AdThief, Unflod, Mekie, AppBuyer, Xsser). Но в этой статье мы поговорим про вредоносное ПО и его возможности для iOS без jailbreak…
 
Давайте сразу договоримся о начальных условиях, касающихся нашего Apple-устройства:
Устройство с ОС iOS на борту;
ОС iOS последней версии;
Устройство без jailbreak.
 
....
 
Давайте рассмотрим, какие векторы атак теперь открываются перед атакующим (осведомлен – значит защищен) и вообще есть для неджейлбрейкнутых устройств.
1) Вредоносный подарочек. Просто дарят человеку устройство с предустановленным набором (дареному коню в зубы не смотрят) «полезных» программок: от безопасных мессенджеров до редакторов картинок. Для этого, как правило, берется любая хорошо известная программа из AppStore, распаковывается и расшифровывается, в нее вносится дополнительный функционал, подписывается соответствующим сертификатом и устанавливается на устройство. При этом, как вы понимаете, приложение продолжает нормально функционировать и выполнять свои первоначальные функции. Как бы ни был смешон и примитивен данный способ, нам уже известны случаи, когда подобные устройства дарили определенному кругу лиц в России.
2) Через зараженный компьютер. Устройство подключается к зараженному компьютеру, которому доверяет (с которым установлен pairing), и вредоносный код на системе устанавливает вредоносное приложение уже на мобильное устройство (например, с помощью библиотеки libimobiledevice). 
3) Пара секунд в чужих руках. Одолжить телефон злоумышленнику/недругу/ревнивой девушке на пару секунд также будет достаточно для установки на телефон вредоносной программы. Злоумышленник заранее размещает свое приложение где-нибудь в Интернете и, пока телефон у него в руках, через Safari заходит по ссылке и устанавливает его, при этом знание никаких паролей не нужно! 
4) Сам себе Буратино. Вы сами можете поставить себе приложение из какого-то стороннего источника, например, в стремлении сэкономить на покупке игры в AppStore. Насколько мне известно, так, например, в Китае (Tongbu) любят покупать, ломать игры и потом бесплатно (или дешевле) их распространять, переподписав своим сертификатом.
5) Взломанный разработчик. Вредоносный код может попасть в проект и спокойно распространиться на устройства через те же HockeyApp, Ubertesters, Fabric (Crashlytics), если они, конечно, используются. Ну или злоумышленник просто выкрадет нужные ему сертификаты у разработчика.
6) Инсайдер. Данный пункт актуален только для самих компаний, у которых есть внутренняя разработка и распространение корпоративных приложений. Проблема в том, что разработчик в такой ситуации волен использовать не только разрешенные Apple функции… но об этом чуть дальше.
7) Через уязвимость приложения. Самый красивый и самый сложный вектор атаки одновременно при минимуме подозрений. При этом приложение даже может распространяться через AppStore. Подобный концепт уже описывали в работе “Jekyll on iOS: When Benign Apps Become Evil”.
8) Благодаря уязвимости в iOS. Такое уже ранее находилось, например, исследователем Charlie Miller и позволяло ему динамически подгружать и выполнять неподписанный код на устройстве.
 
Подробнее на
 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если никому не давать телефон, ставить приложения самому и только из App Store, то остаются вот эти два пункта всего:

 


7) Через уязвимость приложения. Самый красивый и самый сложный вектор атаки одновременно при минимуме подозрений. При этом приложение даже может распространяться через AppStore. Подобный концепт уже описывали в работе “Jekyll on iOS: When Benign Apps Become Evil”. 8) Благодаря уязвимости в iOS. Такое уже ранее находилось, например, исследователем Charlie Miller и позволяло ему динамически подгружать и выполнять неподписанный код на устройстве.

 

А это концепты или так и нереализованные еще вектора атаки. Поэтому пока можно не волноваться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bauhau2015

ненавижу Яблоки.

Дорого и бестолково!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Дорого и бестолково!

 

Дорого - да. А на счет бестолково можно много и безрезультатно спорить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

(7) более чем реален. Скажем, уязвимости во WebView находятся с завидной регулярностью. На WebView базируется масса приложений. Уязвимость в компоненте влечет уязвимость в приложении, построенном на нем.

 

(8): Уже не помню где, но видел данные по приблизительным стоимостям эксплойтов под различные платформы. iOS-ные были самыми дорогими. Ценник, если не изменяет память - сотни тысяч баксов. Понятно, что использовать такие эксплойты будут для большой истории, объектом атаки вряд ли будут рядовые пользователи

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

(7) более чем реален. Скажем, уязвимости во WebView находятся с завидной регулярностью. На WebView базируется масса приложений. Уязвимость в компоненте влечет уязвимость в приложении, построенном на нем.

 

Вот хороший пример буквально в соседней ветке http://www.anti-malware.ru/forum/index.php?showtopic=30079 

http://www.anti-malware.ru/news/2015-04-22/16022

 

Масштаб угрозы большой, но нет фактических доказательств атак через эти уязвимости. А значит реальный риск пока остается низкий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

Да, пример, хороший, но он скорее про уязвимость сетевого взаимодействия, то есть максимум, что злоумышленник может сделать - это прочитать/модифицировать траффик между приложением и сервером. В случае с WebView речь идет об исполнении загруженного из сети кода в контексте приложения, установленного на устройство, что может привести к гораздо более печальным последствиям.

 

Ну а насчет фактических доказательств и низкого риска – кому мы с вами нужны?! Подобные уязвимости будут использоваться для целевых атак на большие организации и страны. Так что, если вас зовут не Владимир Владимирович или Дмитрий Анатольевич – не парьтесь, все-равно кроме включения мозга и использования специализированных MDM с сильной секьюрити составляющей на iOS вам ничего не поможет.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×