Apple закрыла серьезную брешь в App Store и веб-приложении iTunes Store, которая позволяла удаленному атакующему внедрять вредоносные скрипты в счета, приходящие от Apple, и тем самым осуществлять перехват сессии, редиректы и фишинговые атаки.

Уязвимость была обнаружена в июне Бенджамином Межри (Benjamin Kunz Mejri), исследователем из Vulnerability Lab, о чем он спешно сообщил в Apple. Представители Apple пока не ответили на просьбу Threatpost прокомментировать ситуацию.

По словам Межри, данный баг «представляет собой серьезную угрозу для покупателей, продавцов и разработчиков веб-сайта Apple». В минувший понедельник эксперт опубликовал детальный отчет об уязвимости и PoC-эксплойт.

Эксперт не смог отследить, когда именно Apple устранила проблему, но если судить по недавнему апдейту для iTunes, вышедшему 30 июня, то компания разработала фикс в течение месяца.

Уязвимость вызвана недостаточной валидацией входящих данных на стороне приложения. Корнем этой проблемы является тот факт, что в приходящих от Apple счетах содержится имя устройства пользователя — параметр, которым атакующий может манипулировать при помощи скрипт-кода. В большинстве случаев имена устройств весьма произвольны, но, по словам эксперта, в данном случае App Store и iTunes не только используют этот параметр, но и некорректно его кодируют.

Таким образом, если атакующий сможет внедрить свой код в систему выдачи счетов Apple, это позволит ему исполнить скрипт-код на стороне приложения. После совершения покупки через App Store или iTunes на электронную почту жертвы приходит письмо, содержащее счет, и происходит исполнение кода.

«Удаленный атакующий может путем взаимодействия передать уязвимость на другие учетные записи Apple Store, используя стойкую возможность манипуляции контекстом, — пишет Межри. — Эксплойт уязвимости возможен как удаленно, так и через вредоносные электронные письма с адресом получателя/отправителя *@email.apple.com».

В дополнение к перехвату сессии, фишингу и редиректам атакующий также может применить «стойкую манипуляцию контекста уязвимых или связанных модулей службы», — предупреждает эксперт.

Категории: Главное, Уязвимости