05/03/2014

Szpiedzy klawiatury: teraz także na iPhonie!

Informacje

Stali czytelnicy naszego bloga Kaspersky Daily posiadają już pewną wiedzę temat aktualnych trendów w mobilnych zagrożeniach: najgorętszym „hitem” cyberprzestępców są obecnie trojany bankowe w wersji mobilnej. Gdy Ty korzystasz z usług bankowych na swoim smartfonie, złodzieje mogą przechwycić wszystko, czego tylko potrzebują – nazwy użytkowników, hasła, a nawet kody jednorazowe wysyłane za pośrednictwem SMS-ów. Do niedawna problem ten dotyczył wyłącznie urządzeń z systemem Android. Dzięki restrykcyjnej polityce Apple’a – producenta iOS oraz właściciela sklepu App Store – dotyczącej aplikacji, użytkownicy iPhone-ów rzadko mieli styczność z zagrożeniami mobilnymi, no może z wyjątkiem phishingu.

ios-keylogger

Okazało się jednak, że iOS nie jest już dzisiaj tak bezpieczny jak kiedyś sądzono. Dziura w SSL, która została nazwana „goto fail”, została załatana w aktualizacji iOS 7.0.6. Pozwalała ona na przechwytywanie i modyfikowanie zawartości komunikatów, które dla użytkownika wyglądały na bezpieczną i szyfrowaną transmisję. Ale to jeszcze nie wszystko. Firma zajmująca się bezpieczeństwem – FireEye, opublikowała raport, w którym opisuje metodę przechwytywania wszystkich danych wprowadzanych zarówno przez klawiaturę jak i ekran dotykowy w systemie iOS. To z kolei stanowiło idealną okazję dla cyberprzestępców do stworzenia keyloggera na urządzenia z systemem iOS bez wykorzystania metody jailbreak.

Idea jest dość prosta – nieuczciwa aplikacja (która może się ukrywać jako nieszkodliwy program – na przykład odtwarzacz muzyki) może umożliwić monitorowanie wszelkiej aktywności na urządzeniach z systemem iOS 7, łącznie z gestami wykonywanymi na ekranie dotykowym smartfonów. Każdy z gestów jest rejestrowany  jako prosty komunikat: „użytkownik dotknął ekranu w miejscu – współrzędne X i Y”. Ze względu na to, że klawiatura w mobilnych urządzeniach Apple jest w 100% ustandaryzowana, łatwo wywnioskować, która litera odpowiada podanym współrzędnym. Aplikacja w wersji demo, stworzona przez firmę FireEye, przesyła dane do zdalnego serwera, gdzie są one „tłumaczone” na odpowiadające im przyciski, co z kolei umożliwia potencjalnym atakującym zarejestrować wszystkie logowania przeprowadzane na iPhonie. Jeżeli wpiszesz hasło, zostanie ono natychmiast przesłane do tej bazy, a skutki tego mogą prowadzić do najgorszych konsekwencji jakie możesz sobie wyobrazić. Aplikacja umożliwia monitorowanie użytkowników i ich kliknięć, nawet gdy funkcja „odświeżanie w tle” jest wyłączona w ustawieniach iOS. Aby pozbyć się tego programu szpiegującego, użytkownik powinien wyłączyć monitorowanie w tle oraz ręcznie przerwać działanie wszystkich podejrzanych albo niepotrzebnych aplikacji za pomocą menadżera zadań.

Na szczęście luka została odkryta przez odpowiedzialnych naukowców, którzy błyskawicznie zgłosili defekt firmie Apple, a teraz pomagają w Cupertino rozwiązać ten problem. Jednak w momencie, w którym piszemy ten artykuł, aktualizacja nie jest jeszcze dostępna.

W App Store znajduje się kilka klawiatur firm trzecich z alternatywnymi mapami przycisków, tak więc można wpisywać poufne dane dzięki tym aplikacjom i kopiować je do aplikacji bankowych oraz witryn. Niemniej jednak, nie gwarantuje to odpowiedniego poziomu bezpieczeństwa. Aby osiągnąć znacznie lepszą ochronę, środki bezpieczeństwa powinny być wdrożone przez same instytucje bankowe. W tym momencie Kaspersky Lab wysuwa się przed szereg.  Ogłoszona niedawno platforma Kaspersky Fraud Prevention może być używana w celu wzmocnienia ochrony mobilnych aplikacji bankowych poprzez dodanie kilku warstw zabezpieczeń na istniejące już funkcje aplikacji bankowych. Jedną z takich warstw jest bezpieczna klawiatura, która rozwiązuje problem keyloggerów. Jeżeli Twoja aplikacja bankowa używa bezpiecznej klawiatury dla poufnych danych, przyciski z literami na ekranie są umieszczone w kolejności losowej,  co uniemożliwia przetłumaczenie współrzędnych na określone litery. Takie rozwiązanie skutecznie czyni opisane powyżej techniki bezużytecznymi, chroniąc Twoje dane przed przestępcami.

kfp-secure-keyb

Istnieją również inne technologie, które chronią przed zagrożeniami finansowymi zarówno komputery stacjonarne jak i urządzenia mobilne; możesz zapoznać się z niektórymi z nich na anglojęzycznej stronie Kaspersky Fraud Prevention.