Вадим Волков

Червивые яблочки [БЕЗ JailBreak]

В этой теме 7 сообщений

Лично у меня "яблочных" устройств нет, но их владельцам возможно будет интересно: 

 

Из блога компании "Digital Security"

 

Историями про вредоносное ПО для ОС Android никого уже сегодня не удивить, разве только про rootkit-технологии или про новые концепты, заточенные под новое runtime-окружение ART. C вредоносным ПО для iOS противоположная ситуация: о нем если кто и слышал, то, как правило, только в контексте jailbreak. В 2014 году был вообще бум таких программ (AdThief, Unflod, Mekie, AppBuyer, Xsser). Но в этой статье мы поговорим про вредоносное ПО и его возможности для iOS без jailbreak…
 
Давайте сразу договоримся о начальных условиях, касающихся нашего Apple-устройства:
Устройство с ОС iOS на борту;
ОС iOS последней версии;
Устройство без jailbreak.
 
....
 
Давайте рассмотрим, какие векторы атак теперь открываются перед атакующим (осведомлен – значит защищен) и вообще есть для неджейлбрейкнутых устройств.
1) Вредоносный подарочек. Просто дарят человеку устройство с предустановленным набором (дареному коню в зубы не смотрят) «полезных» программок: от безопасных мессенджеров до редакторов картинок. Для этого, как правило, берется любая хорошо известная программа из AppStore, распаковывается и расшифровывается, в нее вносится дополнительный функционал, подписывается соответствующим сертификатом и устанавливается на устройство. При этом, как вы понимаете, приложение продолжает нормально функционировать и выполнять свои первоначальные функции. Как бы ни был смешон и примитивен данный способ, нам уже известны случаи, когда подобные устройства дарили определенному кругу лиц в России.
2) Через зараженный компьютер. Устройство подключается к зараженному компьютеру, которому доверяет (с которым установлен pairing), и вредоносный код на системе устанавливает вредоносное приложение уже на мобильное устройство (например, с помощью библиотеки libimobiledevice). 
3) Пара секунд в чужих руках. Одолжить телефон злоумышленнику/недругу/ревнивой девушке на пару секунд также будет достаточно для установки на телефон вредоносной программы. Злоумышленник заранее размещает свое приложение где-нибудь в Интернете и, пока телефон у него в руках, через Safari заходит по ссылке и устанавливает его, при этом знание никаких паролей не нужно! 
4) Сам себе Буратино. Вы сами можете поставить себе приложение из какого-то стороннего источника, например, в стремлении сэкономить на покупке игры в AppStore. Насколько мне известно, так, например, в Китае (Tongbu) любят покупать, ломать игры и потом бесплатно (или дешевле) их распространять, переподписав своим сертификатом.
5) Взломанный разработчик. Вредоносный код может попасть в проект и спокойно распространиться на устройства через те же HockeyApp, Ubertesters, Fabric (Crashlytics), если они, конечно, используются. Ну или злоумышленник просто выкрадет нужные ему сертификаты у разработчика.
6) Инсайдер. Данный пункт актуален только для самих компаний, у которых есть внутренняя разработка и распространение корпоративных приложений. Проблема в том, что разработчик в такой ситуации волен использовать не только разрешенные Apple функции… но об этом чуть дальше.
7) Через уязвимость приложения. Самый красивый и самый сложный вектор атаки одновременно при минимуме подозрений. При этом приложение даже может распространяться через AppStore. Подобный концепт уже описывали в работе “Jekyll on iOS: When Benign Apps Become Evil”.
8) Благодаря уязвимости в iOS. Такое уже ранее находилось, например, исследователем Charlie Miller и позволяло ему динамически подгружать и выполнять неподписанный код на устройстве.
 
Подробнее на
 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если никому не давать телефон, ставить приложения самому и только из App Store, то остаются вот эти два пункта всего:

 


7) Через уязвимость приложения. Самый красивый и самый сложный вектор атаки одновременно при минимуме подозрений. При этом приложение даже может распространяться через AppStore. Подобный концепт уже описывали в работе “Jekyll on iOS: When Benign Apps Become Evil”. 8) Благодаря уязвимости в iOS. Такое уже ранее находилось, например, исследователем Charlie Miller и позволяло ему динамически подгружать и выполнять неподписанный код на устройстве.

 

А это концепты или так и нереализованные еще вектора атаки. Поэтому пока можно не волноваться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дорого и бестолково!

 

Дорого - да. А на счет бестолково можно много и безрезультатно спорить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

(7) более чем реален. Скажем, уязвимости во WebView находятся с завидной регулярностью. На WebView базируется масса приложений. Уязвимость в компоненте влечет уязвимость в приложении, построенном на нем.

 

(8): Уже не помню где, но видел данные по приблизительным стоимостям эксплойтов под различные платформы. iOS-ные были самыми дорогими. Ценник, если не изменяет память - сотни тысяч баксов. Понятно, что использовать такие эксплойты будут для большой истории, объектом атаки вряд ли будут рядовые пользователи

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

(7) более чем реален. Скажем, уязвимости во WebView находятся с завидной регулярностью. На WebView базируется масса приложений. Уязвимость в компоненте влечет уязвимость в приложении, построенном на нем.

 

Вот хороший пример буквально в соседней ветке http://www.anti-malware.ru/forum/index.php?showtopic=30079 

http://www.anti-malware.ru/news/2015-04-22/16022

 

Масштаб угрозы большой, но нет фактических доказательств атак через эти уязвимости. А значит реальный риск пока остается низкий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, пример, хороший, но он скорее про уязвимость сетевого взаимодействия, то есть максимум, что злоумышленник может сделать - это прочитать/модифицировать траффик между приложением и сервером. В случае с WebView речь идет об исполнении загруженного из сети кода в контексте приложения, установленного на устройство, что может привести к гораздо более печальным последствиям.

 

Ну а насчет фактических доказательств и низкого риска – кому мы с вами нужны?! Подобные уязвимости будут использоваться для целевых атак на большие организации и страны. Так что, если вас зовут не Владимир Владимирович или Дмитрий Анатольевич – не парьтесь, все-равно кроме включения мозга и использования специализированных MDM с сильной секьюрити составляющей на iOS вам ничего не поможет.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 11.2.49.
    • PR55.RP55
      При попытке выполнить  в uVS:  "Открыть в браузере отчёт" 404 - Запрашиваемая страница не найдена. https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54 При том, что SHA файла есть: https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/ И так для всех файлов.  
    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!