Компания FireEye опубликовала подробности о баге в своем официальном блоге. Как сообщают исследователи, уязвимость позволяет хакерам получить доступ к устройствам, после того как пользователи установят на свои гаджеты приложения по ссылкам, полученным через текстовые сообщения, по почте или просто по интернету.
После этого вирус может заменять вполне безопасные приложения, установленные через App Store, в том числе почтовые и банковские приложения, на зловредный софт, используя технику, которую в FireEye назвали «атака по маске».
С помощью таких атак злоумышленники могут украсть такую информацию, как данные о банковском счете или пароль от почтового ящика, и другие конфиденциальные данные.
«Это очень большая уязвимость, и ее легко эксплуатировать», — заявил руководитель исследовательской группы FireEye Тао Вей.
Операционная система iOS считается более безопасной, чем другие мобильные платформы: благодаря ее защите злоумышленникам значительно сложнее установить зловредные программы на iPhone и iPad — в отличие от устройств на Android.
Однако «атака по маске» делает это возможным, эксплуатируя технологию, которую Apple разработала для того, чтобы большие организации могли устанавливать на устройства собственный софт, которого нет в App Store. Отметим, что для установки таких приложений требуется разрешение пользователя.
«Вы можете просто нажать на кнопку «не устанавливать». Пока вы это делаете, вы будете защищены от этой уязвимости», — рекомендует исследователь компании Lookout Дэвид Ричардсон.
По словам Тао Вея, Fire Eye решили рассказать публике подробности о найденной уязвимости после того, как на прошлой неделе компания Palo Alto Networks сообщила о вирусе WireLurker, первой зловредной программе, использующей эту уязвимость в системе. «На сегодняшний день WireLurker — единственный, но их станет больше», — прогнозирует Вей.
По мнению ведущего вирусного аналитика ESET Russia Артема Баранова, новая уязвимость достаточно опасна.
«Суть в том, что система безопасности iOS позволяет установить на устройство одно приложение вместо другого (перезаписать его). При этом новое приложение получит доступ ко всем данным старого. Это возможно, если новое приложение использует тот же идентификатор, который Apple называет bundle identifier.
Согласно сценарию атаки, пользователю на iPhone приходит сообщение с фишинговой ссылкой. Ссылка ведет на установку вредоносного приложения. Если пользователь подтверждает это действие и устанавливает его, программа получает доступ ко всем данным файлов, которые использовались ее предшественницей. Опасность в том, что там могут находиться данные онлайн-банкинга, личные сообщения, электронная почта и др.», — сообщил Баранов корреспонденту «Газеты.Ru».
Эксперт ESET считает, что массового использования этой уязвимости ожидать не стоит, поскольку условием установки приложения является наличие сертификата. Такие сертификаты выдаются доверенным компаниям – разработчикам ПО для iOS. Главная опасность кроется в том, что корпоративные приложения, распространяемые по схеме enterprise provisioning, могут и не проверяться Apple. И если обладатели сертификата выпустят небезопасное приложение, оно не попадет в AppStore, но может быть установлено на устройства без jailbreak.
Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского», говорит, что новая уязвимость в iOS действительно является крайне серьезным испытанием для разработчиков iPads и iPhones, так как вирусописатели нашли новый способ перезаписи одного приложения другим (вредоносным).
«Эта уловка открывает широкие возможности для перехвата ценных пользовательских данных. Ведь модель безопасности iOS строится на том, что данные одного приложения невозможно перехватить другому, поэтому далеко не все приложения шифруют свои локальные данные. Новая уязвимость позволяет злоумышленникам атаковать пользователя, всего лишь называя вредоносные приложения популярными именами (например, Skype). После установки приложение «в маске» перезапишет оригинальное, после чего получит доступ к данным», — сообщил Чебышев «Газете.Ru».
А на прошлой неделе Palo Alto предупредила пользователей iOS о вирусе, способном заражать устройства на iOS, используя ПО для компьютеров Mac.