12/11/2014

Ujawniono lukę w iOS wykorzystywaną przez WireLurkera – szkodliwe oprogramowanie dla Apple

Informacje Porady Technologie Zagrożenia

10 listopada badacze odkryli lukę wykorzystywaną przez szkodliwe oprogramowanie WireLurker, które infekuje urządzenia mobilne z systemem iOS po połączeniu ich za pomocą portu USB z komputerami na OS X i Windows. Oczywiście firma Apple także została o tym poinformowana.

Masque-Attack-all-new-iOS-vulnerability_fb

Luka została nazwana „Masque” i atakuje system iOS w wersji 7.1.1, 7.1.2, 8.0, 8.1 oraz 8.1.1 beta. Pierwsze raporty sugerowały, że szkodliwe oprogramowanie może infekować urządzenia z iOS tylko za pośrednictwem połączenia USB, jednak badacze z FireEye powiedzieli przedwczoraj, że Masque może także zostać wykorzystana przez wiadomości tekstowe oraz pocztę e-mail. Jednak, aby zainfekować za pośrednictwem SMS lub wiadomości pocztowej, atakujący musi nakłonić ofiarę do kliknięcia odnośnika prowadzącego do szkodliwej aplikacji.

Jeśli chodzi o stronę techniczną, Masque daje atakującemu możliwość zastąpienia oryginalnych aplikacji iOS ich szkodliwymi odpowiednikami bez informowania o tym użytkownika. Częściowo luka jest związana z błędem systemu iOS polegającym na podwójnym sprawdzaniu tożsamości danej aplikacji pod kątem jej cyfrowego certyfikatu, jeśli dostawca nie umieszcza aplikacji w sklepie App Store.

Zatem w tym przypadku iOS nie oflagował certyfikatów WireLurkera, które były legalnie podpisane (chociaż używały innego certyfikatu), ponieważ szkodliwe oprogramowanie jedynie umieszczało aplikację na telefonie użytkownika bezpośrednio z zainfekowanego komputera lub laptopa. Z tego powodu, inaczej niż to było w przypadku wcześniejszego szkodliwego oprogramowania dla iOS, WireLurker posiadał zdolność infekowania urządzeń, które teoretycznie nie były poddane jailbreakowi.

Firma FireEye poinformowała, że WireLurker jest jedynym znajdującym się „na wolności” szkodnikiem wykorzystującym lukę Masque. Wygląda też na to, że jest on rozpowszechniony wśród cyberprzestępców. Błąd Masque jest niezałatany. Na korzyść Apple’a działa fakt, że szybko unieważnił certyfikaty wykorzystywane przez szkodliwe oprogramowanie.

Potrzeba ochrony przed szkodliwym oprogramowaniem dla urządzeń z OS X nie jest nadużyciem.

Zaraz po tym jak firma zajmująca się bezpieczeństwem Palo Alto Networks opublikowała w poprzednim tygodniu swoje znalezisko WireLurker, grupa odpowiedzialna za szkodliwe oprogramowanie zakończyła swoje działanie. Jej celem było infekowanie komputerów z systemem Windows i Mac, gdzie szkodnik mógłby pozostać bezczynny aż do momentu zainfekowania iPhone’a czy iPoda, podłączonego przez użytkownika do komputera.

Następnie szkodliwe oprogramowanie wyszukiwało w podłączonym urządzeniu iOS kilka popularnych aplikacji. Jeśli znalazło, WireLurker odinstalowywał je i zastępował fałszywymi, zawierającymi trojana replikami. Ostatecznie nie wiadomo, jakiego rodzaju danych wyszukiwało szkodliwe oprogramowanie.

Jedynymi użytkownikami, którzy mogli mieć do czynienia z WireLurkerem, byli ci, którzy pobrali aplikacje z chińskiego sklepu Maiyadi. Badacz Palo Alto powiedział, że w Maiyadi odnaleziono 467 zainfekowanych aplikacji dla OS X, do 16 października zostały one pobrane ponad 350 000 razy przez ponad 100 000 użytkowników.

„Potrzeba ochrony przed szkodliwym oprogramowaniem dla urządzeń z OS X nie jest nadużyciem” – twierdzi globalny zespół analiz i badań firmy Kaspersky Lab w swoim w raporcie w serwisie Securelist. „Nie chodzi o to, że Twój OS X może zostać zainfekowany, ale o to, że WireLurker pokazał nam, jak infekcja może rozprzestrzenić się z Maka na iPhone’a. Dobra wiadomość jest taka: jest mnóstwo możliwości ochrony, włącznie z naszym programem Kaspersky Internet Security for Mac„.