04/04/2016

AceDeciever: szkodliwy program, który może zainfekować każdego iPhone’a

Technologie Zagrożenia

Użytkownicy iPhone’ów zazwyczaj traktują swoje urządzenia jak solidną twierdzę: mają one opinię bardzo bezpiecznych, zwłaszcza w porównaniu z urządzeniami na platformie Android. Tak, iPhone’y są bezpieczniejsze niż telefony z Androidem, ale to nie oznacza, że są całkowicie bezpieczne. Bo przecież nie ma takiej twierdzy, której nie można zdobyć.

apple-vulnerability-2-FB

Poznaliśmy już nie jedno, lecz kilka zagrożeń dla systemu iOS, a także podzieliliśmy się poradami na temat bezpieczeństwa gadżetów od Apple’a. Szkodliwe programy dla iOS-a wciąż się pojawiają, a najnowsze zagrożenie wykryte przez firmę Palo Alto Networks wydaje się być najbardziej niebezpieczne jak do tej pory.

Dlaczego? Ponieważ do zainstalowania szkodliwego programu nie jest wymagany ani jailbreak urządzenia z systemem iOS, ani nie są potrzebne skradzione certyfikaty firmowe. Nowa rodzina szkodliwych programów nosi nazwę AceDeciever i może zainfekować prawdopodobnie każde urządzenie z systemem iOS.

Raczej dobre intencje

Wszystko zaczęło się od czyjegoś pomysłu uzyskania czegoś za darmo. W tym przypadku było to zhakowanie aplikacji dla systemu iOS wykorzystujących technologię FairPlay, przy użyciu ataku Man-in-the-Middle. Nie będziemy tu poświęcać czasu na wyjaśnienie koncepcji ataku Man-in-the-Middle; chętni mogą poczytać o nim w specjalnym poście tutaj. A my raczej skupimy się na tym, co to jest FairPlay i jak działa AceDeciever.

FairPlay to zabezpieczenie DRM, którego używa Apple w kontekście muzyki, filmów i aplikacji dla systemu iOS. Jak pewnie wiesz, użytkownicy iPhone’ów mogą dokonywać zakupów poprzez klienta iTunes na swoim komputerze, a następnie przesyłać je do telefonów. Oczywiście konieczny jest dowód zakupu, a jest on dostarczany w postaci kodu autoryzacyjnego, który iTunes generuje dla każdej aplikacji. Tak właśnie działa FairPlay.

Jednak kod ten jest taki sam dla każdej aplikacji, a jeśli uda Ci się go pozyskać, możesz go użyć do zainstalowania tej aplikacji na wielu iPhone’ach i iPadach. I jest to istota działania ataku Man-in-the-Middle na system FairPlay.

Aplikacja o dwóch twarzach

Metoda ewoluowała w sklep tworzący kompleksowe pirackie aplikacje. Wykorzystywał on program systemu Windows o nazwie Aisi Helper, który pierwotnie był używany do przeprowadzania jailbreaku iPhone’ów, tworzenia kopii zapasowej danych i przeinstalowywania iOS-a. Jednak dodano mu nową funkcję — wstrzykiwanie aplikacji o tej samej nazwie do każdego iPhone’a połączonego z komputerem, na którym jest zainstalowany Aisi Helper. Program ten mógł wyświetlać wiele pirackich aplikacji, które użytkownicy mogli pobrać za darmo.

Co ciekawe, sama aplikacja Aisi Helper była instalowana na iPhone’ach przy pomocy tej samej techniki atakującej system FairPlay. Z tego powodu aby wstrzyknąć do iPhone’ów aplikację Aisi Helper, jej twórcy musieli ją najpierw przesłać do sklepu App Store i uzyskać dla niej oryginalny kod autoryzujący. Jednak okazało się, że Apple naprawdę nie lubi sklepów z pirackimi aplikacjami w App Store.

W celu oszukania inspekcji kodu Apple Aisi Helper udawała nieszkodliwą i nudną darmową aplikację z tapetami. Aby nikt nigdy nie ujawnił prawdy, oszuści użyli podwójnego triku. Z jednej strony publikowali wersje tej aplikacji w sklepach obejmujących teren Stanów Zjednoczonych i Wielkiej Brytanii, lecz poza zasięgiem użytkowników z Chin. Z drugiej strony po pierwszym uruchomieniu aplikacja sprawdzała lokalizację telefonu i jeśli nie były to Chiny, wyświetlała jedynie tapety.

Stąd aby zobaczyć prawdziwy piracki interfejs sklepu, inspektorzy kodu App Store w Stanach Zjednoczonych oraz każdy inny użytkownik musiałby być w Chinach, co jest bardzo nieprawdopodobne. Z tego powodu nikt nawet nie zauważył, że aplikacja jest czymś więcej niż tylko kolejnym zestawem tapet.

Apple usunął już wszystkie wersje aplikacji Aisi Helper z App Store. Ale okazało się, że nie jest to koniec historii tego szkodliwego programu: aby przeprowadzić atak FairPlay Man-in-the Middle, nie trzeba posiadać aplikacji w App Store. Wystarczy, że była ona tam tylko raz. I jest to w 100% prawda dla „aplikacji z tapetami/pirackiego sklepu” od Aisi Helper.

Nieczysta gra

A więc co jeszcze jest złego w pirackim sklepie z aplikacjami, pomijając kwestie prawne i moralne? Cóż, jeśli ktoś powie Ci: Ukradłem to i teraz daję Ci to za darmo — nie wierz w to. Nigdy. Jest 99,9% szansy, że zostaniesz oszukany.

I tak dokładnie było z tą aplikacją. Przez chwilę były one nieszkodliwe, ale później wymagały od użytkowników wprowadzenia loginów Apple ID i haseł „w celu uzyskania większej funkcjonalności”. Później dane te były wysyłane do serwera poleceń AceDecievera.

Myślę, że już wiecie, dlaczego piszemy o AceDeciever tutaj, na Kaspersky Daily. Dziura w bezpieczeństwie FairPlay wciąż nie jest załatana; a nawet jeśli będzie, starsza wersja systemu operacyjnego wciąż pozostanie podatna na ten atak.

Jak możesz się ochronić?

Dobra wiadomość jest taka, że ten szczególny atak dotyczy tylko mieszkańców Chin. Zła wiadomość jest taka, że łatwo jest wykorzystać tę lukę ponownie i utworzyć inne szkodliwe oprogramowanie nastawione na inne kraje, może nawet bardziej szkodliwe. Bez względu na to, czy żyjesz w Chinach, czy nie, sugerujemy przestrzeganie poniższych wskazówek:

  1. Nie próbuj zrobić jailbreaku iPhone’a. To nigdy nie było bezpieczne i – jak widać – sam program do wykonania tego też nie jest bezpieczny.
  2. Zawsze pisaliśmy o tej regule w odniesieniu do Sklepu Google Play, ale wygląda na to, że pasuje także do App Store: uważaj na to, jakie aplikacje instalujesz. Twórcy AceDeceiver udowodnili, że używając pewnych trików, można pominąć inspekcję kodu Apple. Niestety, w systemie iOS nie można zainstalować antywirusa, więc gdy przedostanie się do niego jakiś wirus, użytkownik musi radzić sobie sam.
  3. Na szczęście możesz ochronić pozostałe swoje urządzenia. Wszędzie tam, gdzie możesz zainstaluj rzetelny produkt zabezpieczający. Program antywirusowy na komputerze wykryje Aisi Helper jako szkodliwy AceDeciever.