bezpieczeństwo
Stali czytelnicy naszego bloga Kaspersky Daily posiadają już pewną wiedzę temat aktualnych trendów w mobilnych zagrożeniach: najgorętszym „hitem” cyberprzestępców są obecnie trojany bankowe w wersji mobilnej. Gdy Ty korzystasz z usług bankowych na swoim smartfonie, złodzieje mogą przechwycić wszystko, czego tylko potrzebują – nazwy użytkowników, hasła, a nawet kody jednorazowe wysyłane za pośrednictwem SMS-ów. Do niedawna problem ten dotyczył wyłącznie urządzeń z systemem Android. Dzięki restrykcyjnej polityce Apple’a – producenta iOS oraz właściciela sklepu App Store – dotyczącej aplikacji, użytkownicy iPhone-ów rzadko mieli styczność z zagrożeniami mobilnymi, no może z wyjątkiem phishingu.
Okazało się jednak, że iOS nie jest już dzisiaj tak bezpieczny jak kiedyś sądzono. Dziura w SSL, która została nazwana „goto fail”, została załatana w aktualizacji iOS 7.0.6. Pozwalała ona na przechwytywanie i modyfikowanie zawartości komunikatów, które dla użytkownika wyglądały na bezpieczną i szyfrowaną transmisję. Ale to jeszcze nie wszystko. Firma zajmująca się bezpieczeństwem – FireEye, opublikowała raport, w którym opisuje metodę przechwytywania wszystkich danych wprowadzanych zarówno przez klawiaturę jak i ekran dotykowy w systemie iOS. To z kolei stanowiło idealną okazję dla cyberprzestępców do stworzenia keyloggera na urządzenia z systemem iOS bez wykorzystania metody jailbreak.
Idea jest dość prosta – nieuczciwa aplikacja (która może się ukrywać jako nieszkodliwy program – na przykład odtwarzacz muzyki) może umożliwić monitorowanie wszelkiej aktywności na urządzeniach z systemem iOS 7, łącznie z gestami wykonywanymi na ekranie dotykowym smartfonów. Każdy z gestów jest rejestrowany jako prosty komunikat: „użytkownik dotknął ekranu w miejscu – współrzędne X i Y”. Ze względu na to, że klawiatura w mobilnych urządzeniach Apple jest w 100% ustandaryzowana, łatwo wywnioskować, która litera odpowiada podanym współrzędnym. Aplikacja w wersji demo, stworzona przez firmę FireEye, przesyła dane do zdalnego serwera, gdzie są one „tłumaczone” na odpowiadające im przyciski, co z kolei umożliwia potencjalnym atakującym zarejestrować wszystkie logowania przeprowadzane na iPhonie. Jeżeli wpiszesz hasło, zostanie ono natychmiast przesłane do tej bazy, a skutki tego mogą prowadzić do najgorszych konsekwencji jakie możesz sobie wyobrazić. Aplikacja umożliwia monitorowanie użytkowników i ich kliknięć, nawet gdy funkcja „odświeżanie w tle” jest wyłączona w ustawieniach iOS. Aby pozbyć się tego programu szpiegującego, użytkownik powinien wyłączyć monitorowanie w tle oraz ręcznie przerwać działanie wszystkich podejrzanych albo niepotrzebnych aplikacji za pomocą menadżera zadań.
Na szczęście luka została odkryta przez odpowiedzialnych naukowców, którzy błyskawicznie zgłosili defekt firmie Apple, a teraz pomagają w Cupertino rozwiązać ten problem. Jednak w momencie, w którym piszemy ten artykuł, aktualizacja nie jest jeszcze dostępna.
W App Store znajduje się kilka klawiatur firm trzecich z alternatywnymi mapami przycisków, tak więc można wpisywać poufne dane dzięki tym aplikacjom i kopiować je do aplikacji bankowych oraz witryn. Niemniej jednak, nie gwarantuje to odpowiedniego poziomu bezpieczeństwa. Aby osiągnąć znacznie lepszą ochronę, środki bezpieczeństwa powinny być wdrożone przez same instytucje bankowe. W tym momencie Kaspersky Lab wysuwa się przed szereg. Ogłoszona niedawno platforma Kaspersky Fraud Prevention może być używana w celu wzmocnienia ochrony mobilnych aplikacji bankowych poprzez dodanie kilku warstw zabezpieczeń na istniejące już funkcje aplikacji bankowych. Jedną z takich warstw jest bezpieczna klawiatura, która rozwiązuje problem keyloggerów. Jeżeli Twoja aplikacja bankowa używa bezpiecznej klawiatury dla poufnych danych, przyciski z literami na ekranie są umieszczone w kolejności losowej, co uniemożliwia przetłumaczenie współrzędnych na określone litery. Takie rozwiązanie skutecznie czyni opisane powyżej techniki bezużytecznymi, chroniąc Twoje dane przed przestępcami.
Istnieją również inne technologie, które chronią przed zagrożeniami finansowymi zarówno komputery stacjonarne jak i urządzenia mobilne; możesz zapoznać się z niektórymi z nich na anglojęzycznej stronie Kaspersky Fraud Prevention.
Porady