zabrljanje
11-11-2014, 01:12
Moram da priznam da ovo vec postaje pomalo dosadno (mnogo tema vezanih za sigurnost u okviru iOS-a u kratkom vremenskom intervalu) i da niko od nas nije navikao da se takvi problemi javljaju na Apple softveru...bar ne u meri u kojoj se javljaju kod drugih OS-ova...
Jos u julu 2014., FireEye mobile security researchers su otkrili da je moguce da iOS aplikacije, koje se instaliraju uz pomoc “enterprise/ad-hoc provisioning-a”, zamene pravu/originalnu aplikaciju dok god te aplikacije koriste isti “bundle identifier”.
Ove aplikacije mogu da imaju proizvoljan naslov, poput ”New Angry Bird” ili “New Flappy Bird” i tako privlace korisnika da ih instaliraju a onda, nakon instalacije, “zamenjuju” izvornu/originalnu aplikaciju. Jedino nije moguce zameniti stock aplikacije koje dolaze sa iOS-om.
Sve ovo vazi i za uredjaje bez jailbreak-a i sa jailbreak-om.
Napadac ovo moze da koristi putem WiFi-a ili USB-a (kao sto je primer “WireLurker” malware).
Ovo je kratak video sa demonstracijom onoga sto se pominje u tekstu.
3VEQ-bJUhPw
“Masque Attacks” mogu da zamene bilo koju aplikaciju a to podrazumeva i email i bankarske aplikacije a, samim tim, da ukradu podatke vezane za bankovne racune, licne podatke…sve sto vam pada na pamet…mogu cak da pristupe fajlovima koji nisu uklonjeni kada je originalna aplikacija zamenjena (kesiran mail, login tokeni itd.)…
Posledice ovakve situacije:
Napadac moze da imitira login interfejs originalne aplikacije i da ukrade podatke koje upisujete.
Lokalni fajlovi izvorne aplikacije ostaju u njenom direktorijumu i posle zamene (pomenuti mail , login-ovi) i malware moze da ih upload-uje na server napadaca.
Sistem ne prepoznaje “laznu” aplikaciju posto ima isti bundle identifier.
Sve ove aplikacije mogu da posluze za background monitoring i kradju podataka (pored ostalog ii Cloud podataka).
Primer - bundle identifier “com.google.Gmail” sa nazivom “New Flappy Bird”.
Posle instalacije, originalna Gmail aplikacija je zamenjena.
http://www.fireeye.com/blog/wp-content/uploads/2014/11/Untitled1.jpg
Korisnik dobija ponudu da instalira “New Flappy Bird” i posle prihvatanja, nova plikacija zamenjuje Gmail aplikaciju. Kada se u nju udje, UI je identican osim malog naslova na vrhu “yes, you are pwned” koji je namerno postavljen radi ilustracije a u realnoj situaciji sigurno ne bi bio prisutan. Nakon toga se radi upload baze kesiranih mail-ova na server napadaca.
http://www.fireeye.com/blog/wp-content/uploads/2014/11/Untitled4.jpg
Kako spreciti ove stvari
Ne instalirati aplikacije sa third-party izvora.
Ne prihvatati “Install” kod pop-up prozora na third-party web stranama.
Ako vam se, pri otvaranju aplikacije, pojavi upozorenje “Untrusted App Developer”, kliknite na “Don’t Trust” i uradite uninstall aplikacije.
http://www.fireeye.com/blog/wp-content/uploads/2014/11/IMG_0001.jpg
Korisnici na iOS 7 mogu da provere “Settings - > General -> Profiles” i traze bilo koji sumnjiv (kako god da vam se to cini i kojim god pravilom da se vodite – opaska a ne izvorni tekst) “PROVISIONING PROFILE”. Dovoljno je da ga obrisete a mozete i da posaljete report.
Na zalost, korisnici iOS 8 nemaju tu privilegiju da vide “PROVISIONING PROFILES” koji su instalirani i kod njih je potrebno dodatno obratiti paznju pri instalaciji aplikacija.
Ceo tekst je preuzet/preveden (i iskoriscen video i slike), kao sto to rade i ostali sajtovi, sa
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html
Jos u julu 2014., FireEye mobile security researchers su otkrili da je moguce da iOS aplikacije, koje se instaliraju uz pomoc “enterprise/ad-hoc provisioning-a”, zamene pravu/originalnu aplikaciju dok god te aplikacije koriste isti “bundle identifier”.
Ove aplikacije mogu da imaju proizvoljan naslov, poput ”New Angry Bird” ili “New Flappy Bird” i tako privlace korisnika da ih instaliraju a onda, nakon instalacije, “zamenjuju” izvornu/originalnu aplikaciju. Jedino nije moguce zameniti stock aplikacije koje dolaze sa iOS-om.
Sve ovo vazi i za uredjaje bez jailbreak-a i sa jailbreak-om.
Napadac ovo moze da koristi putem WiFi-a ili USB-a (kao sto je primer “WireLurker” malware).
Ovo je kratak video sa demonstracijom onoga sto se pominje u tekstu.
3VEQ-bJUhPw
“Masque Attacks” mogu da zamene bilo koju aplikaciju a to podrazumeva i email i bankarske aplikacije a, samim tim, da ukradu podatke vezane za bankovne racune, licne podatke…sve sto vam pada na pamet…mogu cak da pristupe fajlovima koji nisu uklonjeni kada je originalna aplikacija zamenjena (kesiran mail, login tokeni itd.)…
Posledice ovakve situacije:
Napadac moze da imitira login interfejs originalne aplikacije i da ukrade podatke koje upisujete.
Lokalni fajlovi izvorne aplikacije ostaju u njenom direktorijumu i posle zamene (pomenuti mail , login-ovi) i malware moze da ih upload-uje na server napadaca.
Sistem ne prepoznaje “laznu” aplikaciju posto ima isti bundle identifier.
Sve ove aplikacije mogu da posluze za background monitoring i kradju podataka (pored ostalog ii Cloud podataka).
Primer - bundle identifier “com.google.Gmail” sa nazivom “New Flappy Bird”.
Posle instalacije, originalna Gmail aplikacija je zamenjena.
http://www.fireeye.com/blog/wp-content/uploads/2014/11/Untitled1.jpg
Korisnik dobija ponudu da instalira “New Flappy Bird” i posle prihvatanja, nova plikacija zamenjuje Gmail aplikaciju. Kada se u nju udje, UI je identican osim malog naslova na vrhu “yes, you are pwned” koji je namerno postavljen radi ilustracije a u realnoj situaciji sigurno ne bi bio prisutan. Nakon toga se radi upload baze kesiranih mail-ova na server napadaca.
http://www.fireeye.com/blog/wp-content/uploads/2014/11/Untitled4.jpg
Kako spreciti ove stvari
Ne instalirati aplikacije sa third-party izvora.
Ne prihvatati “Install” kod pop-up prozora na third-party web stranama.
Ako vam se, pri otvaranju aplikacije, pojavi upozorenje “Untrusted App Developer”, kliknite na “Don’t Trust” i uradite uninstall aplikacije.
http://www.fireeye.com/blog/wp-content/uploads/2014/11/IMG_0001.jpg
Korisnici na iOS 7 mogu da provere “Settings - > General -> Profiles” i traze bilo koji sumnjiv (kako god da vam se to cini i kojim god pravilom da se vodite – opaska a ne izvorni tekst) “PROVISIONING PROFILE”. Dovoljno je da ga obrisete a mozete i da posaljete report.
Na zalost, korisnici iOS 8 nemaju tu privilegiju da vide “PROVISIONING PROFILES” koji su instalirani i kod njih je potrebno dodatno obratiti paznju pri instalaciji aplikacija.
Ceo tekst je preuzet/preveden (i iskoriscen video i slike), kao sto to rade i ostali sajtovi, sa
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html