Az alábbi cikket Ys. írta a 0x90 blogon, és mivel a cikksorozata kapcsolódik az iPhone-hoz, mi érdekesnek gondoljuk a számotokra is, így ezeket engedelmével egymás után át is emelnénk ide, a Szifonra.

***

Ez a mai egy kicsit más lesz, mint az eddigiek, ugyanis nem konkrét 3rd party app hibáiról lesz szó, hanem arról, hogy egy teljesen jól használható és indokolt konfigurációs eszközt hogyan lehet abúzálni.

Szóval, van ez a csodálatos iPhone Configuration Utility, amivel mindenféle beállításokat lehet művelni az eszközökön (a nevével ellentétben nem csak iPhone-okra működik). Ezt az eszközt az Apple alapvetően szervezeteknek és nagyvállaltoknak szánta arra, hogy össze lehessen egy viszonylag barátságos felületen kattintgatni a beállításhalmazt, végül pedig kiexportálni az egészet egy önleíró fájlba, amit kiküldünk és feltolunk magukra az eszközökre. Nem igazán gondolták át azonban azt, hogy milyen remek eszközt is adtak a social engineer-ek kezébe.

Tegyük fel, hogy penetration testing meló keretében célzott támadást szeretnénk végrehajtani a kedvesügyfél iPaddel rendelkező alkalmazottai ellen. Jó ötletnek tűnhet az, hogy az összes hálózati forgalmat megszerezzük az alkalmazottak iPadjeiről – mit kell ehhez tennünk? Pofonegyszerű: először is összekattintunk egy (hamis) konfigurációs profilt, ami egyrészt tartalmazza HTTPS proxy-nk IP-címét és a proxy-hoz tartozó tanúsítványt(!), hogy a Safari meg a többi kispajtás ne nyafogjon a self-signed cert miatt.

Kiexportáljuk – a hihetőség még magasabb szintre tornászásához tökéletes választás, ha a “signed” opcióval exportáljuk a cuccot, ugyanis ekkor a kedves júzer iPadjén egy megnyugtató zöld pipa jelenik majd meg, “Verified” felirattal. A móka további fokozására választhatjuk azt is, hogy a júzer ne tudja leszedni a profilt utólag sem az eszközéről – ha mégis megpróbálná, barátságtalan hibaüzenetet kap, ami végképp meggyőzi, hogy amit felrakott, annak ott a helye az iPadjén.

Elküldjük a kiexportált fájlt a kedves júzernek egy mailben és itt ismét leborulunk az iPad Mail alkalmazásának megíróinak lábai előtt, ugyanis a difót Mail alkalmazásban nincs lehetőség megnézni a teljes headert. Amit a júzer lát, az pedig eléggé egyértelmű és meggyőző:

Még akkor se lóg ki a lóláb, ha megnézi a csatolmányt, ott is minden jónak tűnik, ott a pipa, hogy Verified:

A júzer pedig onnantól, hogy ráüt a telepítésre, nem szabadul, ugyanis nem fogja tudni egyszerűen leszedni a konfigurációs profilt. Minden hálózati forgalma rajtunk keresztül fog menni, csak győzzük mentegetni az értékes adatot.