Уязвимость в iOS позволяет подменить нормальное приложение вредоносным

Чилик Тамир, специалист по безопасности из компании Mi3 Security, обнаружил в мобильной платформе iOS уязвимость. Воспользовавшись ей, злоумышленник может подменить обычное приложение вредоносным. Угроза несколько смягчена тем, что для проведения атаки необходим физический доступ к устройству жертвы.

Метод, предложенный Тамиром, базируется на той же идее, что и атака, которую он продемонстрировал в марте на конференции Black Hat Asia в Сингапуре. Исследователь использовал разработанное им программное средство под названием Su-A-Cyder. Оно позволяло подменить одно из установленных приложений на приложение, подписанное анонимным сертификатом для тестирования, которые Apple выдаёт по упрощённой процедуре. Если у подставного приложения тот же Bundle ID, оно получает доступ ко всей информации и возможностям, которые имел оригинал, пишет xakep.ru.

Проблема была в значительной степени связана с простотой получения сертификатов для тестирования. В отличие от обычных сертификатов разработчика, требующих идентификации личности, такие сертификаты выдают по электронному адресу и Apple ID. Даже если Apple его отзовёт, злоумышленнику не составит труда создать новый.

Apple предприняла попытку устранить уязвимость. Вышедшая в апреле iOS 8.3 отказывается обновлять приложение, если у новой и старой версий не совпадают сертификаты. Однако Тамир обнаружил ещё одну лазейку, которую разработчики платформы оставили нетронутой.

Модифицированную версию приложения можно протащить на iPhone или iPad путём восстановления из резервной копии через iTunes. Если заменить одно из приложений в резервной копии подделкой, а затем запустить восстановление, подставное приложение будет установлено без всяких вопросов. Новая атака получила название SandJacking.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лишь 6% российских компаний автоматизировали реагирование на угрозы

Как показало исследование ГК «Гадра», 29% российских компаний не готовы автоматизировать процесс реагирования на угрозы. Без малого две трети (65%), наоборот, заявили о готовности это сделать, хотя реально внедрили автоматическое реагирование лишь 6%.

В опросе ГК «Гарда» приняли участие представители около 300 российских компаний.

Ровно половина опрошенных заявила, что сталкивается с кибератаками как минимум раз в год. Больше всего компании страдают от фишинга (почти 80%), DDoS (ровно половина) и атак на основе методов социальной инженерии (45%).

В том, что подвергаются взлому с использованием уязвимостей, не признался никто.

Из популярных инструментов защиты ответственные за ИТ и ИБ в компаниях отметили средства межсетевого экранирования, как традиционные, так и многофункциональные системы нового поколения (FW/NGFW) – 67%, половина опрошенных внедрили в инфраструктуру WAF.

Более 60% респондентов используют системы оркестрации и управления инцидентами (SIEM/SOAR/IRP). Также популярны системы классов обнаружения/предотвращения вторжений (IPS/IDS), защиты от утечек данных (DLP), сервисы киберразведки (TI).

Чуть меньше трети (29%) опрошенных не хотят использовать средства автоматического реагирования на угрозы, при этом без малого две трети (65%) респондентов готовы внедрить или уже настроили частично автоматизированные процессы реагирования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru