В последнее время на рынке iOS наблюдается неприятный тренд: использование сертификатов для корпоративных разработчиков, выданных Apple в рамках Developer Enterprise Program, для установки вредоносного ПО на мобильные устройства. Самыми яркими примерами таких злоупотреблений являются WireLurker, XcodeGhost и YiSpecter.

Примечательно, что во всех трех случаях злоумышленники получали сертификат законным путем, через названную программу, доступную всем бизнес-структурам, желающим разрабатывать мобильные приложения для внутреннего пользования и раздавать их на рабочие места без публикации в официальном App Store.

Выпуск iOS 9 ограничил возможность установки рекламного и другого потенциально опасного ПО на мобильные устройства. Так, чтобы разрешить исполнение приложения, пользователю приходится вступать в диалог с системой, проходя через все ступени процедуры верификации.

Тем не менее исследователи из Check Point Software Technologies обнаружили еще одно узкое место в этом процессе: с помощью фишинга или других элементов социальной инженерии пользователя можно склонить к установке вредоносного конфигурационного файла, позволяющего атакующему занять позицию «человек посередине» между мобильным устройством и централизованными средствами управления (MDM). Этой возможностью, которую в Check Point называют SideStepper, могут воспользоваться хакеры с тем, чтобы изменить настройки и внедрить новый корневой УЦ, что позволит перенаправить трафик на контролируемый ими прокси-сервер. В итоге на мобильное устройство жертвы можно будет устанавливать вредоносные приложения, способные нарушить безопасность и приватность пользователя.

Check Point уведомила Apple о своей находке еще в октябре и сегодня докладывает о ней на конференции Black Hat Asia. Результаты исследования уже выложены в открытый доступ. Apple со своей стороны заявила, что такие абьюзы ожидаемы. Поскольку атака SideStepper полагается на фишинг и социальную инженерию, разработчик может в итоге ничего не предпринять, ограничившись советом не кликать по недоверенным ссылкам. Комментировать публикацию Check Point представители Apple отказались.

MDM-инструментарий в наши дни широко используется в корпоративной среде, позволяя админам контролировать доступ к важной информации с мобильных устройств. Через MDM можно централизованно менять у пользователей профиль конфигурации, политики безопасности и многое другое. Во многих компаниях дозволен вход в сеть с персональных гаджетов, при этом их секционируют, чтобы можно было стереть лишь корпоративные данные в случае утери устройства или увольнения его владельца.

«Сертификат позволяет создать VPN-туннель, таким образом злоумышленник получает возможность внедриться в канал связи между телефоном и MDM-сервером, — пояснил Афи Рембаум (Avi Rembaum), вице-президент Check Point по разработке ИБ-решений. — Это можно использовать для распространения вредоносного ПО. В случае MitM-атаки наличие системы MDM упрощает раздачу приложений и позволяет атакующему обойти защиту iOS 9, взломать телефон и получить доступ к сохраненным данным».

Check Point также представила результаты исследования 5 тыс. iOS-устройств, принадлежащих одной из компаний списка Fortune 100. В рамках этой организации было создано более 300 корпоративных приложений и получено 116 уникальных сертификатов Apple, однако лишь 11 из последних числятся в белых списках разработок. Остальные сертификаты принадлежат разработчикам с плохой репутацией либо почти не проявившим себя на этом поприще.

«В итоге образовалась некая серая зона в отношении рисков, — комментирует Рембаум. — Приложения, подписанные такими сертификатами и распространяемые в рамках корпоративной программы, могут проявлять вредоносную активность и злоупотреблять доступом к публичному API. Инициатор атаки может этим воспользоваться, чтобы получить доступ к микрофону, веб-камере, данным о местоположении устройства. Существует много информации, которую можно использовать для атаки на частных лиц или на организации с помощью социальной инженерии».

Категории: Аналитика, Главное, Уязвимости