Хакеры научились делать «вечный джейлбрейк» iPhone и iPad, получив доступ к ядру iOS

Хакеры научились делать «вечный джейлбрейк» iPhone и iPad

Хакерская группа Ramtin Amin («Рамтин Амин») смогла разгадать принципы работы проприетарного интерфейса Apple Lightning, которыми компания Apple делится только со своими партнерами, а от других держит в секрете. Понятие принципов работы Lightning открыло хакеру доступ ко множеству инструментов, включая отладчик ядра операционной системы iOS, сообщает Hacked.

Доступ к отладчику iOS позволит хакерам, в случае если Амин поделится с ними эксплойтом (пока он не стал публиковать его в своем блоге), быстрее находить уязвимости в операционной системе и использовать их для выпуска джейлбрейков, отмечает Hacked.

Разъем Lightning компания Apple использует с 2012 г. Первым устройством, оснащенным им, стал iPhone 5, представленный в октябре 2012 г. Затем стандарт перекочевал в iPad 4 и iPad mini и впоследствии — во все новые мобильные устройства вендора. Он заменил прежний более широкий несимметричный разъем, компания отказалась от него ради более высокой скорости и меньших габаритов, передает cnews.ru.

Издание добавляет, что пользователям не стоит беспокоиться за безопасность своих устройств, поскольку она не позволяет выполнить на устройстве под управлением iOS произвольный код. Этим разработка «Рамтин Амин» отличается от найденной в январе 2015 г. уязвимости Thunderstrike, которая позволяет злоумышленникам исполнять произвольный на компьютерах Mac с помощью интерфейса Thunderbolt.

Чтобы взломать проприетарный, то есть закрытый стандарт Lightning, Амин изучил множество патентов на Lightning и свободных в открытом доступе в интернете утечек. Затем он настроил и подключил к разъему логический анализатор, посредством которого изучил логику контроллера интерфейса.

Напомним, что компания Apple позволяет устанавливать приложения для iOS-устройств (iPhone, iPad) только из официального источника — магазина App Store. Однако существуют альтернативные каталоги, в них публикуются приложения, по различным причинам не допущенные Apple в официальный репозиторий. Для доступа к таким каталогам пользователь должен выполнить джейбрейк устройства.

Apple регулярно устраняет уязвимости в iOS, позволяющие хакерам выпускать такие джейлбрейки, а также всячески препятствует их усилиям. Так, на прошлой неделе компания заблокировала возможность восстановления устройств с сохранением прошивки iOS 8.1.2, для которой есть джейлбрейк, принудительно переведя все устройства на iOS 8.1.3 (для этой версии системы джейлблейка пока нет).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

macOS-юзеров через ClickFix атакует Odyssey Stealer — переодетый Poseidon

Эксперты CYFIRMA обнаружили множество сайтов, использующих тактику Clickfix для раздачи вредоносных AppleScript. Как оказалось, целевой троян Odyssey — это обновленный, сменивший имя инфостилер Poseidon.

Вредоносные фейки используют тайпсквоттинг и имитируют легитимные финансовые сервисы, магазин приложений Apple для macOS и сайты новостей на рынке криптовалют.

При заходе на такую площадку пользователю отображается фейковый тест CAPTCHA в стиле Cloudflare с предложением скопировать и вставить в Терминал закодированную по Base64 команду.

В результате атаки ClickFix на машину жертвы с внешнего сервера загружается AppleScript для кражи данных. Обфускация не применяется, и это сильно облегчает анализ.

При заходе на поддельный сайт с Windows-устройства инструкции по копипасту соответствующим образом изменяются — визитера просят запустить Powershell, однако на момент анализа кнопка «»Скопировать» не работала.

 

Вредоносный скрипт создает на macOS-компьютере папку временных файлов для хранения краденого. Туда копируются конфигурационные данные из менеджеров паролей, сохраненные в Chrome, Firefox и Safari учетки; приватные ключи, сид-фразы для криптокошельков, токены аутентификации из 100+ расширений браузеров; файлы из папок «Рабочий стол» и «Документы», а также пароли, полученные с помощью фейковых системных подсказок.

Украденные данные впоследствии выводятся на серверы авторов атаки в виде ZIP-файла. По состоянию на 30 июня стилера Odyssey детектируют 22 из 62 антивирусов коллекции VirusTotal.

Анализ показал, что новобранец является результатом развития и ребрендинга Poseidon Stealer, а также форком AMOS Stealer. Его центры управления по большей части размещены в России. Жертвы — в основном жители США и ЕС; страны СНГ, по всей видимости, являются табу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru