Хакеры могут украсть данные с помощью взлома Masque Attack II на iPhone и iPad от Apple

Table Of Contents

• Masque Attack II: Обнаружен еще один серьезный недостаток в Apple iOS, который может привести к краже данных у корпоративных пользователей.
• Masque II : Похищение URL

Masque Attack II: Обнаружен еще один серьезный недостаток в Apple iOS, который может привести к краже данных у корпоративных пользователей.

В ноябре 2014 года исследователи из Fire Eye выявили “Masque Attack”, который может быть использован злоумышленниками для замены подлинного приложения на другое, содержащее вредоносное ПО, с помощью SMS, электронной почты или веб-серфинга. Apple, похоже, исправила эту проблему в iOS 8.1.3. Теперь исследователи FireEye обнаружили новый недостаток, который может быть вдвое опаснее, чем Masque. Умело названный Masque II исследователями FireEye, они предупредили, что этот недостаток может быть использован для взлома iPhone и iPad.

Masque II : Похищение URL

Исследователи FireEye отметили, что Masque Attack II состоит из 2 частей:

a) Обходит запрос на доверие и,

b) Похищение схемы URL.

Хуи Сюэ и его команда исследователей утверждают, что iOS 8.1.3 защищена от “обхода запроса”, но все еще уязвима к “похищению схемы URL iOS”.

Мы постараемся понять это простыми словами.

1. Обходит запрос на доверие: Каждый раз, когда пользователь нажимает на любую ссылку в SMS или электронной почте или даже в Google Inbox; Apple iOS запустит целевое приложение с корпоративной подписью без запроса разрешения пользователя. Обычно, если пользователь загружает определенное приложение из App Store в первый раз, появляется запрос с вопросом “Доверять” или “Не доверять”. В этом случае, поскольку пользователь нажал на ссылку через схему URL, приложение будет загружено напрямую без запроса.

В случаях, которые изучила FireEye, даже если пользователь ранее четко сказал “Не доверять” какому-то ненадежному приложению, iOS проигнорировала запрос и загрузила приложение. Fire Eye довела эту проблему до сведения Apple.

Согласно статье FireEye: “Злоумышленник может воспользоваться этой проблемой, чтобы запустить приложение, содержащее Masque Attack. Похитители могут распространять вредоносное ПО с корпоративной подписью, которое регистрирует схемы URL приложений, идентичные тем, которые используются законными популярными приложениями, и таким образом похищать схемы URL законных приложений и имитировать их интерфейс для проведения фишинговых атак, например, кражи учетных данных для входа”. Apple iOS не может защитить своих пользователей от этого, поскольку атака будет происходить на уровне запроса.

2. Похищение схемы URL: Это больше проблема функционала, чем атака вредоносного ПО. Было замечено, что Apple iOS позволяет приложениям от разных разработчиков делить одни и те же схемы URL. Снова, согласно исследователям из FireEye: “Злоумышленники могут либо опубликовать “агрессивное” приложение в App Store, либо создать и распространить вредоносное ПО с корпоративной подписью/ад-хок, которое регистрирует схемы URL приложений, идентичные тем, что у законных популярных приложений. Таким образом, злоумышленники могут имитировать интерфейс законного приложения для проведения фишинговых атак, чтобы украсть учетные данные для входа или собрать данные, предназначенные для обмена между двумя доверенными приложениями”. Теперь это в упрощенных терминах означает, что пользователи могут в конечном итоге загрузить вредоносное приложение в соответствии с намерениями похитителей вместо законного, которое затем может украсть личную и финансовую информацию пользователя iPhone/iPad.

Согласно команде FireEye, состоящей из Месье Хуи Сюэ, Жаофэна Чена, Сунь Цзина, Юлонга Чжана и Тао Вэя, пользователи iPhone и iPad должны быть более осторожными в отношении Masque Attack II, так как он еще не был устранен.

Вероятные рекомендации для пользователей Apple iOS:

• Обновить устройство до версии 8.1.3 как можно скорее

• Каждый раз, когда пользователи получают любую ссылку в SMS или электронной почте или на каком-либо сайте, будьте осторожны, так как это может загрузить вредоносные программы.

FireEye сообщает, что они раскрыли уязвимость публично, так как Apple решила игнорировать их частное раскрытие. Вы можете увидеть видео с доказательством концепции ниже :