Исследователи из компании FireEye обнаружили критический баг в операционной системе iOS, позволяющий некоторым приложениям отслеживать и записывать взаимодействия пользователя с сенсорным экраном и кнопками смартфона.

По словам экспертов, уязвимость связана с реализованной в ОС функцией многозадачности и позволяет приложению логировать все действия пользователя в фоновом режиме и даже отсылать записанные данные на произвольный удаленный сервер. В качестве доказательства существования уязвимости в FireEye создали соответствующее приложение, которое работает на смартфонах Apple с версией iOS 6.1 и выше и способно регистрировать взаимодействия как с тач-дисплеем, так и с физическими кнопками. В случае с экраном данные о координатах могут передаваться злоумышленникам, после чего те могут соотнести их с расположением клавиш на виртуальной клавиатуре и выяснить, что именно набирал с ее помощью атакованный пользователь.

Уязвимость может быть эксплуатирована как при помощи специально созданного для этого приложения, так и посредством уже установленных аппов, причем без необходимости производить джейлбрейкинг аппарата. Как говорится в блоге FireEye, компания уже активно сотрудничает с Apple в решении проблемы, так что, вероятно, в ближайшее время нас ждет еще один внеочередной патч для актуальных версий iOS. Интересно, что данный баг был обнаружен одновременно с выходом последнего обновления, закрывшего другую серьезную уязвимость, связанную с некорректной работой с SSL устройств на базе iOS и OS X.

Впрочем, обезопасить себя можно уже сейчас. Нужно или вручную завершать все находящиеся в фоновом режиме программы, или пользоваться специальной клавиатурой, основанной на разработанной компанией «Лаборатория Касперского» технологии Secure Keyboard, входящей в состав представленной на днях платформы Kaspersky Fraud Prevention.

Работает она очень просто: порядок символов в защищенной виртуальной клавиатуре, которую пользователь использует для ввода конфиденциальных данных, изменяется случайным образом при каждом новом запуске. Эта функция делает перехват координат касаний бесполезным, поскольку злоумышленники не будут знать, в каком порядке расположены символы клавиатуры на устройстве пользователя. Таким образом, ценные данные — одноразовые пароли для систем онлайн-банкинга, номера платежных карт и их CVV-коды и прочие сведения — останутся в целости и сохранности вне зависимости от того, «пропатчено» атакованное устройство или нет.

Категории: Уязвимости