Masque Attack : Ваше приложение для iPhone может быть клонированным приложением, скрывающим вредоносное ПО

Table Of Contents

• Masque Attack : Ваши приложения для iPhone могут быть вредоносными
• Как работает Masque?
• Все устройства Apple iOS подвержены риску
• Меры предосторожности против атаки Masque

Masque Attack : Ваши приложения для iPhone могут быть вредоносными

Исследователи компании FireEye выявили новую атаку, которую злоумышленники могут использовать для замены подлинного приложения на другое, содержащее вредоносное ПО. Исследователи FireEye назвали эту новую атаку «Masque Attack».

В июле команда мобильной безопасности FireEye обнаружила, что приложение iOS, установленное с использованием корпоративного или ad-hoc предоставления, может заменить другое подлинное приложение, установленное через App Store, если оба приложения используют один и тот же идентификатор пакета. Уязвимость существует, потому что iOS не требует совпадения сертификатов для приложений с одинаковым идентификатором пакета, согласно информации компании.

В примере того, как может работать атака, FireEye отправила ссылку тестовому пользователю, приглашая его скачать новое обновление Flappy Bird. Когда человек нажал на ссылку, он неосознанно скачал взломанное обновление легитимного приложения Gmail. Взломанное приложение Gmail могло выглядеть идентично оригиналу, но могло отправлять копию конфиденциальных писем пользователей третьей стороне без ведома пользователей.

FireEye утверждает, что та же техника может быть использована для обмана людей, чтобы они загружали вредоносные версии банковских приложений, которые пересылают финансовые данные, включая пароли, хакеру.

Как работает Masque?

Как только жертва соблазнена установить вредоносное приложение, исследователи FireEye объяснили, что незаконное приложение заменит подлинное. FireEye утверждает, что только предустановленные приложения, такие как Mobile Safari, не подвержены этой проблеме. Согласно FireEye, злоумышленник может использовать эту уязвимость как по беспроводной сети, так и через USB.

«После изучения WireLurker мы обнаружили, что он начал использовать ограниченную форму атак Masque для атаки на устройства iOS через USB», - написали исследователи FireEye в блоге. «Атаки Masque могут представлять гораздо большую угрозу, чем WireLurker. Атаки Masque могут заменять подлинные приложения, такие как банковские и почтовые приложения, используя вредоносное ПО злоумышленника через Интернет. Это означает, что злоумышленник может украсть учетные данные пользователя для банковских операций, заменив подлинное банковское приложение на вредоносное с идентичным интерфейсом. Удивительно, но вредоносное ПО может даже получить доступ к локальным данным оригинального приложения, которые не были удалены при замене оригинального приложения. Эти данные могут содержать кэшированные электронные письма или даже токены для входа, которые вредоносное ПО может использовать для входа в учетную запись пользователя напрямую.»

Все устройства Apple iOS подвержены риску

Уязвимость была подтверждена FireEye на iOS 7.1.1, 7.1.2, 8.0, 8.1 и 8.1.1 beta как на джейлбрейкнутых, так и на не джейлбрейкнутых устройствах. FireEye сообщила, что уведомила Apple 26 июля 2014 года, но Apple не ответила немедленно. FireEye заявила, что они видели, как Masque используется в дикой природе.

«Поскольку все существующие стандартные защиты или интерфейсы от Apple не могут предотвратить такую атаку, мы просим Apple предоставить более мощные интерфейсы профессиональным поставщикам безопасности, чтобы защитить корпоративных пользователей от этих и других сложных атак.»

Меры предосторожности против атаки Masque

Чтобы избежать угрозы, FireEye говорит, что есть три правила, которым должны следовать все пользователи iPhone и iPad:

2. Не устанавливайте приложения из сторонних источников, кроме официального App Store Apple или вашей собственной организации.

3. Не нажимайте «Установить» на всплывающем окне с третьей стороны.

4. При открытии приложения, если iOS показывает предупреждение с «Ненадежный разработчик приложения», нажмите «Не доверять» и немедленно удалите приложение.

Пока весь интернет волнуется из-за атаки Masque, Apple до сих пор не приняла и не опровергла уязвимость.