iOS συσκευές – αυτή την φορά που δεν έχουν γίνει jailbroken – φαίνεται να έχουν ευπάθεια σε μια νέα απειλή ασφαλείας. Έναν δούρειο ίππο, trojan horse, με την ονομασία AceDeceiver. Το trojan αυτό μπορεί να εγκατασταθεί σε μια iOS συσκευή χωρίς ο χρήστης να το γνωρίζει. Με την εγκατάσταση του θα μεταφέρει το malware και μη εγκριμένο λογισμικό στην συσκευή του χρήστη.
Αυτή την στιγμή το AceDeceiver φαίνεται να επηρεάζει αυτούς που βρίσκονται στην Κίνα αλλά αυτό μπορεί να αλλάξει πάρα μα πάρα πολύ γρήγορα όποτε καλό είναι να γνωρίζετε τα τι και πως για αυτή την νέα απειλή ασφαλείας.
Πως λειτουργεί
Την ανακάλυψη του την έκανε το Palo Alto Networks με την ευπάθεια να εντοπίζεται στο DRM σύστημα ασφαλείας της Apple με την κωδική ονομασία FairPlay. Ουσιαστικά έχουμε μια man-in-the-middle επίθεση που επιτρέπει σε λογισμικό και malware να εγκατασταθεί σε μια iOS συσκευή κοροϊδεύοντας τον έλεγχο κωδικού επιβεβαίωσης που χρησιμοποιεί η συσκευή για το iTunes.
AceDeceiver is the first iOS malware we’ve seen that abuses certain design flaws in Apple’s DRM protection mechanism — namely FairPlay — to install malicious apps on iOS devices regardless of whether they are jailbroken. This technique is called “FairPlay Man-In-The-Middle (MITM)” and has been used since 2013 to spread pirated iOS apps, but this is the first time we’ve seen it used to spread malware. (The FairPlay MITM attack technique was also presented at the USENIX Security Symposium in 2014; however, attacks using this technique are still occurring successfully.)
Apple allows users purchase and download iOS apps from their App Store through the iTunes client running in their computer. They then can use the computers to install the apps onto their iOS devices. iOS devices will request an authorization code for each app installed to prove the app was actually purchased. In the FairPlay MITM attack, attackers purchase an app from App Store then intercept and save the authorization code. They then developed PC software that simulates the iTunes client behaviors, and tricks iOS devices to believe the app was purchased by victim. Therefore, the user can install apps they never actually paid for, and the creator of the software can install potentially malicious apps without the user’s knowledge.
Επειδή εφαρμογές μπορούν να εγκατασταθούν χωρίς την επιβεβαίωση του χρήστη αυτοί που αποκτήσουν αυτό το trojan στην συσκευή τους αυτόματα βάζουν σε κίνδυνο τα προσωπικά τους δεόμενα, Apple ID πληροφορίες κλπ.
Αρχικά 3 εφαρμογές για wallpapers στο App Store από τον Ιουλίου του 2015 μέχρι και τον Φεβρουάριο του 2016 είχαν καταφέρει να περάσουν τα τεστ ασφαλείας της Apple και έτσι οι επιτιθέμενοι καταφέραν να έχουν πρόσβαση στο DRM κωδικό επιβεβαίωσης της Apple.
Η Apple αφαίρεσε αυτές τις εφαρμογές από το App Store των Φεβρουάριο αλλά η εταιρεία δεν έκανε patch τον DRM μηχανισμό της και έτσι ο κωδικός επιβεβαίωσης του παρέμεινε ο ίδιος.
Πως επηρεάζονται οι χρήστες
Οι χρήστες που απέκτησαν αυτοί την ευπάθεια παρουσιάζονταν με μια επιλογή να εγκαταστήσουν μια Windows εφαρμογή με την ονομασία Aisi Helper που εμφανιζόταν ως ένα λογισμικό που θα τους βοηθούσε να κάνουν restore την συσκευή τους, να την κάνει jailbreak ή ακόμη και να βοηθήσει στον καθαρισμό κάποιων άχρηστων αρχείων.
Πέρα από ότι έλεγε η εφαρμογή ουσιαστικά με την εγκατάσταση της επικοινωνούσε με ένα App Store τρίτων επιτρέποντας στους hackers να εξαπολύσουν την παραπάνω επίθεση.
Ποιος επηρεάζεται ακόμη
Παρά το γεγονός ότι οι εφαρμογές με το κακόβουλο λογισμικό αφαιρέθηκαν από την Apple οι hackers έχουν ακόμη των κωδικό επιβεβαίωσης DRM της Apple και έτσι όποιος κατεβάσει την εφαρμογή Aisi Helper ή κάποια παρόμοια μπορεί να εκθέσει την συσκευή του σε άμεσο κίνδυνο.
Οι hackers λοιπόν θα μπορούν και μέχρι η Apple να διορθώσει αυτή την ευπάθεια να παρουσιάσουν μια παρόμοια εφαρμογή σαν την Aisi σε Ευρώπη, Αμερική κλπ με τα ίδια ακριβώς αποτελέσματα.
Πως να προστατευτείτε
Αν χρησιμοποιείτε ένα Windows μηχάνημα μην κατεβάζετε περίεργο λογισμικό από εκδότες που δεν γνωρίζετε. Αν έχετε φυσικά κατεβάσει την Aisi Helper εφαρμογή αφαιρέστε την αμέσως. Για τους χρήστες Mac η εν λόγω εφαρμογή δεν λειτουργεί αλλά αυτό δεν σημαίνει πως δεν μπορεί να αλλάξει στο μέλλον.
Γενικότερα αν κάποια εφαρμογή σας ζητήσει το Apple ID σας βεβαιωθείτε πως αυτή είναι εφαρμογή της Apple και όχι από κάποιον τρίτο προγραμματιστή ακόμη και αν η εφαρμογή του έχει εγκριθεί και βρίσκετε στο App Store.
Οι εφαρμογές του App Store ΠΟΤΕ ΔΕΝ ΘΑ ΣΑΣ ΖΗΤΗΣΟΥΝ μετά την εγκατάσταση τους στην συσκευή σας να δώσετε το Apple ID σας.
Επίσης ελέγξτε αν έχετε περάσει κάποια provisioning profiles στην συσκευή σας που φαίνονται περίεργα όπως τα
- aisi.aisiring
- aswallpaper.mito
- i4.picture
