Уязвимость, которую использовал WireLurker, предана гласности; по словам представителя FireEye, компания Apple получила соответствующий отчет еще в июле, но патч пока не выпустила.

Из описания бреши, актуальной для iOS 7.1.1, 7.1.2, 8.0, 8.1 и 8.1.1 beta, следует, что ее можно использовать против мобильных устройств Apple не только при их подключении по USB, как в случае с WireLurker, но также удаленно, послав жертве SMS или email-сообщение со ссылкой на вредоносное приложение. В FireEye этот способ заражения нарекли Masque Attack.

Данная уязвимость позволяет злоумышленнику без ведома пользователя подменять легитимные iOS-приложения вредоносными и проводить успешные атаки независимо от того, разлочено устройство или нет. Комментируя находку, штатный эксперт FireEye Тао Вэй (Tao Wei) поясняет: все дело в том, что механизм, предоставляемый Apple корпоративным разработчикам, не предусматривает сравнение сертификатов в том случае, если комплекты приложений имеют одинаковые идентификаторы. Используя специализированный сервис компании, разработчик может создавать и распространять iOS-приложения, не выгружая их на сайт Apple.

По словам Вэя, на настоящий момент атаки WireLurker — единственный случай itw-эксплуатации уязвимости Masque. «Мы обнаружили, что эта брешь пошла в ход, поэтому сочли своим долгом предать ее гласности», — заявил Вэй в ответ на запрос Threatpost.

Напомним, информация о WireLurker появилась в начале ноября и наделала много шума. Как оказалось, этот зловред существует в версиях для Mac OS X и для Windows, однако атаки с его использованием были ограничены территорией Китая. При подключении мобильного устройства к зараженному компьютеру зловред ищет популярные в этой стране iOS-приложения и заменяет их троянским аналогом.

По свидетельству FireEye, в рамках Masque-атаки злоумышленник получает возможность переписывать приложения, подписанные сертификатом корпоративного разработчика. Так, например, исследователи продемонстрировали замену валидного Gmail-приложения, загруженного с официального Apple App Store, вредоносной версией, которая при этом сохраняет все сообщения в ящике жертвы.

«Используя Masque Attack, злоумышленник сможет получить все конфиденциальные данные с вашего iPhone», — предупреждает Вэй. Атакующим придется лишь сымитировать логин-интерфейс исходного приложения; риски высоки не только для почтовых и игровых программ, но теоретически также для подписанных банковских клиентов, данные которых злоумышленники смогут получить через бэкдор. По свидетельству FireEye, после подмены информация из текущей директории аутентичного приложения, включая локальный кэш, остается в распоряжении зловреда.

Вредоносной подделке присваивается тот же идентификатор комплекта, который использует оригинал; этот трюк применяется для обхода средств управления мобильными устройствами (MDM). «iOS не проверяет сертификаты в процессе обновления, — подтвердил Вэй. — Это позволяет атакующим заменить установленное приложение фейковым».

«В настоящее время не существует таких MDM API, которые отслеживают данные сертификата каждого приложения, — продолжает исследователь. — По этой причине обнаружить такую атаку с помощью MDM очень трудно».

Данная уязвимость была обнаружена в минувшем июле и была представлена Apple 26 июля. «Она очень опасна, — признает Вэй, — и в то же время ее очень легко эксплуатировать, поэтому мы сочли, что пользователей надо предупредить об этой бреши». Что касается WireLurker, обе его версии уже обезврежены, а сертификат, который они использовали, Apple отозвала.

Категории: Вредоносные программы, Главное, Уязвимости