Rossz alma? Malware megharapja a Mac-et és az iOS-t


Az Apple eszközök immunmentesek a rosszindulatú programok ellen. Ez az uralkodó bölcsesség, amelyet gyakran megismételnek azok, akik iPhone-okat, iPad-eket vagy Mac-laptopokat birtokolnak, hogy így ellensúlyozzák a technológiai óriás által alkalmazott korlátozó alkalmazási irányelveket. Ezeknek az Apple-szerelmeseknek azonban van egy értelme, mivel a vállalat Macintosh-kapuja és az iOS „Trust” engedélyei lehetővé teszik az eszközök számára, hogy érvényes Apple Developer ID nélkül kifejlesztett alkalmazásokat azonosítsanak, és a mobil malware túlnyomó többsége (98%) az Android- alapú eszközök.

De ez nem azt jelenti, hogy az iPhone és a MacBook teljesen biztonságosak. Valójában egy új malware család most kifejezetten az Apple termékeket célozza meg, és potenciálisan komoly károkat okozhat. Itt van az alsó sor.

Vigyázz a Lurkers-re

Ahogyan egy nemrégiben elvégzett Kaspersky biztonsági frissítés rámutatott, az újonnan felfedezett WireLurker malware képes mind iOS, mind Mac OS eszközöket megfertőzni. A rosszindulatú programokat először egy, a Maiyadi nevű kínai alkalmazásboltban figyelték meg, mondja a Palo Alto Networks biztonsági cég, és 467 OS X alkalmazást fertőzött meg. Claud Xiao, a Palo Alto szerint: „Az elmúlt hat hónapban ezeket a 467 fertőzött alkalmazást 356 104 alkalommal töltötték le, és valószínűleg több száz ezer felhasználót érinttek”.

Szóval hogyan működik? A WireLurker azzal kezdődik, hogy trojanizált alkalmazásokat hoz létre harmadik féltől származó alkalmazásboltokban történő értékesítésre. Amikor a jailbroken iPhones vagy a Mac számítógépet letöltötte, amikor a Gatekeeper ki van kapcsolva, a WireLurker megkeresi az adott alkalmazásokat, létrehoz másolatokat, rosszindulatú kódokkal javítja őket, majd a fertőzött alkalmazást másolja vissza az eszközre. Ha nem börtönös telefont használ, akkor a legjobb, ha a WireLurker legális Enterprise Developer ID-t használ a rosszindulatú alkalmazás telepítéséhez, amely Palo Alto szerint „teszt eset”. Félelmetes? Meg kellene lennie, de ha nem fut a törött telefonnal, vagy nem tölt be alkalmazásokat harmadik fél üzleteiből, és akkor felülbírálja az Apple Trust engedélyét, akkor valószínűleg biztonságban vagy.

Valószínűleg.

Jekyll and Hide

Természetesen érdemes megemlíteni, hogy 2013-ban a Georgia Tech kutatói találtak egy módszert arra, hogy rosszindulatú hasznos teherfájlokat szerezzenek az Apple eszközökre egy jóindulatú látszólagos kód segítségével. Az eWeek szerint ezek a „Jekyll alkalmazások” könnyen eljuthatnak az Apple ellenőrzési folyamatán, de később „gonoszsá válhatnak”, és úgy viselkedhetnek, mint a rosszindulatú programok. A csapat felfedezte a rosszindulatú alkalmazások telepítésének módját is egy valódi fejlesztői azonosító és hamis USB töltő segítségével; elismerten nehezebb és alacsony technológiájú, de még mindig aggasztó.

A legnagyobb probléma itt? Ennek ellenére az iOS és a Mac biztonsági intézkedései ellenére is meg lehet tervezni olyan kódot, amely áthatol a repedéseken, és valódi problémákat okoz. Noha az elterjedt támadások valószínűleg nem használják ezeket a módszereket, a Jekyll alkalmazások és hasonló kizsákmányolások problémát jelenthetnek olyan kiemelkedő célok számára, mint például a kormányzati tisztviselők vagy az internet aktivisták.

Szép maszk

Az alkalmazások morfizálásán és a harmadik féltől származó veszélyeken túl van egy másik probléma is: A Masque Attack. A FireEye biztonsági cég által azonosított és „álarcosodásra” hivatkozva a maszk támadások a WireLurker kifinomultabb formája, amelyek az Apple vállalati és ad-hoc ellátási rendszerére támaszkodnak. Így működik: az Apple rendben van a fejlesztőkkel és a vállalkozásokkal, amelyek az App Store ökoszisztémákon kívül terjesztik az alkalmazásokat, úgynevezett „kiépítési profil” segítségével. Ez a profil lehetővé teszi a felhasználók számára, hogy alkalmazásokat letölthessenek közvetlenül egy linkből bármilyen alkalmazás-áruház felület használata nélkül. Noha ez a módszer nem széles körben elterjedt, a vállalkozások és az induló vállalkozások számára nagyszerű módja annak, hogy saját alkalmazásokat fejlesztjenek ki vagy teszteljenek házon belül.

De van egy kiskapu. Lehetséges, hogy a fertőzött alkalmazások álarcosodnak, majd felülírják a törvényes alkalmazásokat a felhasználói eszközökön, feltéve, hogy a „csomag-azonosítók” azonosak. Az Apple nem követeli meg a megfelelő tanúsítványokat a hasonlóan csomagban szereplő alkalmazásokhoz, ehelyett lehetővé teszi, hogy azok bármikor felülíródjanak. Ez azt jelenti, hogy egy szorgalmas támadó potenciálisan hozzáférhet a vállalati hálózathoz, majd a telepített alkalmazások „új” verzióit eljuttathatja az összes alkalmazott telefonra – a megfelelő fejlesztői azonosítóval a felhasználókat becsaphatják alkalmazásuk frissítésébe, és kitethetnek magukat rosszindulatú programoknak. Legrosszabb esetben? Egy álarcos alkalmazás, amely megragadja a törvényes alkalmazásban tárolt adatokat, telepít egy fertőzött verziót, és adatfolyamot küld egy ismeretlen szerverre.

Lejárati dátum?

A WireLurker és a Masque támadások néhány Apple-felhasználónál felidézték a félelmet, ám ez a gyümölcs még nem rossz – a kockázata minimális, hacsak nem szereted a börtönös telefonokat vagy a szörfözést a kínai alkalmazásboltban. Ugyanakkor ez egy nyugtató emlékeztető arra, hogy a rosszindulatú programok készítői soha nem pihennek, és hogy még az Apple fallal körülvett kertje sem áthatolhatatlan. Tegyen magadnak egy szívességet: szörföljön intelligensen egy biztonságos VPN-sel – nincs értelme, ha tudatja a csalókat, hogy megtudja, melyik alkalmazásba tartozik -, és csakúgy, mint az e-mail melléklet, ne bízzon az ismeretlen alkalmazásokban. Az idegenektől származó alma soha nem egészséges választás.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map