Новая атака типа "Человек посередине" под названием DoubleDirect, нацеленная на пользователей Android и iPhone

Table Of Contents

• Новая атака типа “Человек посередине” под названием DoubleDirect, нацеленная на пользователей Android и iPhone
• DoubleDirect
• Как работает DoubleDirect
• Кто в зоне риска?

Новая атака типа “Человек посередине” под названием DoubleDirect, нацеленная на пользователей Android и iPhone

Исследователи из Zimperium Mobile Security Labs обнаружили, что киберпреступники используют новый метод атаки типа “Человек посередине”, чтобы нацелиться на пользователей смартфонов Android и iPhone и довольно успешно. Исследователи Zimperium назвали эту новую атаку DoubleDirect Attack.

DoubleDirect

Так называемая техника DoubleDirect позволяет злоумышленнику перенаправить трафик жертвы на устройство злоумышленника. После перенаправления злоумышленник может украсть учетные данные и доставить вредоносные нагрузки на мобильное устройство жертвы, которые могут не только быстро заразить устройство, но и распространиться по корпоративной сети», - сообщает мобильная безопасность Zimperium.

Zimperium также обнаружил, что техника DoubleDirect использовалась против клиентов таких крупных веб-сайтов, как Google, Facebook, Twitter, Hotmail, Live.com, Naver.com (корейский) и других. Zimperium сообщает, что метод атаки используется широко как минимум в 31 стране мира, а именно: Сербия • Австралия • Ирак • Казахстан • Польша • Индонезия • Израиль • Латвия • Финляндия • Мексика • Египет • Великобритания • Австрия • Колумбия • Греция • Бразилия • Канада • Франция • Алжир • Российская Федерация • Швейцария • Италия • Германия • Испания • Саудовская Аравия • Нидерланды • Индия • Мальта • Бахрейн • Соединенные Штаты и Китай.

Исследователи Zimperium утверждают, что основной мотив киберпреступников, использующих атаку DoubleDirect, - это получение конфиденциальной информации жертв, адресов электронной почты и учетных данных, банковской информации и других паролей.

Как работает DoubleDirect

Злоумышленники, использующие метод DoubleDirect, используют пакеты ICMP Redirect (тип 5), чтобы изменить таблицы маршрутизации хоста. Этот метод легитимно используется маршрутизаторами для уведомления хостов в сети о том, что доступен лучший маршрут для конкретного назначения. Однако в случае атаки DoubleDirect злоумышленник использует пакеты ICMP Redirect, чтобы изменить таблицы маршрутизации на хосте жертвы, заставляя трафик проходить через произвольный сетевой путь для конкретного IP. В результате злоумышленник может запустить атаку MITM, перенаправляя трафик жертвы на свое устройство. После перенаправления злоумышленник может скомпрометировать мобильное устройство, связав атаку с дополнительной уязвимостью на стороне клиента (например, уязвимость браузера), и, в свою очередь, предоставить злоумышленнику доступ к корпоративной сети.

Исследователи Zimperium обнаружили, что в случае атаки DoubleDirect хакеры используют ранее неизвестную реализацию для достижения полного дуплексного MITM с использованием ICMP Redirect. Традиционные атаки ICMP Redirect имеют ограничения и известны как полудуплексные MITM.

Лаборатория мобильной безопасности Zimperium исследовала угрозы и определила, что злоумышленники могут предсказать IP-адреса, к которым обращается жертва. Zimperium загрузил полный Proof of Concept для атаки DoubleDirect, который можно скачать здесь.

Кто в зоне риска?

iOS: Исследователи Zimperium отметили, что атака DoubleDirect работает на последних версиях iOS, включая iOS 8.1.1, поэтому все iPhone уязвимы к этой атаке.

Android: Исследователи Zimperium заявили, что атака DoubleDirect работала на большинстве устройств Android, включая Nexus 5 с последней версией Android OS 5.0 lollipop.

Mac OS X Yosemite: Исследователи Zimperium говорят, что пользователи Mac OS X Yosemite также потенциально уязвимы, но пользователи Windows и Linux, похоже, защищены, поскольку обе операционные системы Windows и Linux по умолчанию не принимают пакеты ICMP перенаправления, которые содержат вредоносный трафик.

Ни Google, ни Apple пока официально не прокомментировали выводы исследователей Zimperium.