Перейти к содержанию
Вадим Волков

Червивые яблочки [БЕЗ JailBreak]

Recommended Posts

Вадим Волков

Лично у меня "яблочных" устройств нет, но их владельцам возможно будет интересно: 

 

Из блога компании "Digital Security"

 

Историями про вредоносное ПО для ОС Android никого уже сегодня не удивить, разве только про rootkit-технологии или про новые концепты, заточенные под новое runtime-окружение ART. C вредоносным ПО для iOS противоположная ситуация: о нем если кто и слышал, то, как правило, только в контексте jailbreak. В 2014 году был вообще бум таких программ (AdThief, Unflod, Mekie, AppBuyer, Xsser). Но в этой статье мы поговорим про вредоносное ПО и его возможности для iOS без jailbreak…
 
Давайте сразу договоримся о начальных условиях, касающихся нашего Apple-устройства:
Устройство с ОС iOS на борту;
ОС iOS последней версии;
Устройство без jailbreak.
 
....
 
Давайте рассмотрим, какие векторы атак теперь открываются перед атакующим (осведомлен – значит защищен) и вообще есть для неджейлбрейкнутых устройств.
1) Вредоносный подарочек. Просто дарят человеку устройство с предустановленным набором (дареному коню в зубы не смотрят) «полезных» программок: от безопасных мессенджеров до редакторов картинок. Для этого, как правило, берется любая хорошо известная программа из AppStore, распаковывается и расшифровывается, в нее вносится дополнительный функционал, подписывается соответствующим сертификатом и устанавливается на устройство. При этом, как вы понимаете, приложение продолжает нормально функционировать и выполнять свои первоначальные функции. Как бы ни был смешон и примитивен данный способ, нам уже известны случаи, когда подобные устройства дарили определенному кругу лиц в России.
2) Через зараженный компьютер. Устройство подключается к зараженному компьютеру, которому доверяет (с которым установлен pairing), и вредоносный код на системе устанавливает вредоносное приложение уже на мобильное устройство (например, с помощью библиотеки libimobiledevice). 
3) Пара секунд в чужих руках. Одолжить телефон злоумышленнику/недругу/ревнивой девушке на пару секунд также будет достаточно для установки на телефон вредоносной программы. Злоумышленник заранее размещает свое приложение где-нибудь в Интернете и, пока телефон у него в руках, через Safari заходит по ссылке и устанавливает его, при этом знание никаких паролей не нужно! 
4) Сам себе Буратино. Вы сами можете поставить себе приложение из какого-то стороннего источника, например, в стремлении сэкономить на покупке игры в AppStore. Насколько мне известно, так, например, в Китае (Tongbu) любят покупать, ломать игры и потом бесплатно (или дешевле) их распространять, переподписав своим сертификатом.
5) Взломанный разработчик. Вредоносный код может попасть в проект и спокойно распространиться на устройства через те же HockeyApp, Ubertesters, Fabric (Crashlytics), если они, конечно, используются. Ну или злоумышленник просто выкрадет нужные ему сертификаты у разработчика.
6) Инсайдер. Данный пункт актуален только для самих компаний, у которых есть внутренняя разработка и распространение корпоративных приложений. Проблема в том, что разработчик в такой ситуации волен использовать не только разрешенные Apple функции… но об этом чуть дальше.
7) Через уязвимость приложения. Самый красивый и самый сложный вектор атаки одновременно при минимуме подозрений. При этом приложение даже может распространяться через AppStore. Подобный концепт уже описывали в работе “Jekyll on iOS: When Benign Apps Become Evil”.
8) Благодаря уязвимости в iOS. Такое уже ранее находилось, например, исследователем Charlie Miller и позволяло ему динамически подгружать и выполнять неподписанный код на устройстве.
 
Подробнее на
 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если никому не давать телефон, ставить приложения самому и только из App Store, то остаются вот эти два пункта всего:

 


7) Через уязвимость приложения. Самый красивый и самый сложный вектор атаки одновременно при минимуме подозрений. При этом приложение даже может распространяться через AppStore. Подобный концепт уже описывали в работе “Jekyll on iOS: When Benign Apps Become Evil”. 8) Благодаря уязвимости в iOS. Такое уже ранее находилось, например, исследователем Charlie Miller и позволяло ему динамически подгружать и выполнять неподписанный код на устройстве.

 

А это концепты или так и нереализованные еще вектора атаки. Поэтому пока можно не волноваться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bauhau2015

ненавижу Яблоки.

Дорого и бестолково!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Дорого и бестолково!

 

Дорого - да. А на счет бестолково можно много и безрезультатно спорить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

(7) более чем реален. Скажем, уязвимости во WebView находятся с завидной регулярностью. На WebView базируется масса приложений. Уязвимость в компоненте влечет уязвимость в приложении, построенном на нем.

 

(8): Уже не помню где, но видел данные по приблизительным стоимостям эксплойтов под различные платформы. iOS-ные были самыми дорогими. Ценник, если не изменяет память - сотни тысяч баксов. Понятно, что использовать такие эксплойты будут для большой истории, объектом атаки вряд ли будут рядовые пользователи

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

(7) более чем реален. Скажем, уязвимости во WebView находятся с завидной регулярностью. На WebView базируется масса приложений. Уязвимость в компоненте влечет уязвимость в приложении, построенном на нем.

 

Вот хороший пример буквально в соседней ветке http://www.anti-malware.ru/forum/index.php?showtopic=30079 

http://www.anti-malware.ru/news/2015-04-22/16022

 

Масштаб угрозы большой, но нет фактических доказательств атак через эти уязвимости. А значит реальный риск пока остается низкий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

Да, пример, хороший, но он скорее про уязвимость сетевого взаимодействия, то есть максимум, что злоумышленник может сделать - это прочитать/модифицировать траффик между приложением и сервером. В случае с WebView речь идет об исполнении загруженного из сети кода в контексте приложения, установленного на устройство, что может привести к гораздо более печальным последствиям.

 

Ну а насчет фактических доказательств и низкого риска – кому мы с вами нужны?! Подобные уязвимости будут использоваться для целевых атак на большие организации и страны. Так что, если вас зовут не Владимир Владимирович или Дмитрий Анатольевич – не парьтесь, все-равно кроме включения мозга и использования специализированных MDM с сильной секьюрити составляющей на iOS вам ничего не поможет.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
    • PR55.RP55
      1) При срабатывании критерия выделять не всю строку, а только вхождение\результат. Пример: C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL 2) Команду: Архивировать Zoo  добавить и  в меню файла. Если оператор работает с одним файлом - ему не нужно будет метаться по всей программе. Когда группа файлов - тогда, да удобно применить одну команду. Но когда файл один... 3) В Инфо. файла прописывать единственный это файл каталога, или нет. Примерно так: FC:  1 > ADNEKMOD8B4.DLL FC:  5 > Uninstall.exe;  Menu.exe;  MenuDLL.dll;  9z.dll;  Com.bat ; 4) При совпадении пути до файла: PROGRAM FILES ; PROGRAM FILES (X86) с одной из установленных программ. Писать в Инфо.:  C:\PROGRAM FILES (X86)\AIMP3\AIMP3.EXE Программа найдена: C:\Program Files (x86)\AIMP3\Uninstall.exe
    • PR55.RP55
      В связи с переходом угроз для: BIOS\UEFI из теории в реальность... Предлагаю создать отдельную программу для: Копирования\Восстановления; Просмотра; Просмотра info; Передачи на V.T; Расчёта SHA1 Замены прошивки на: https://www.anti-malware.ru/analytics/Market_Analysis/SDZ-MDZ-russia-market-overview и интеграцию с uVS    
×