A SentinelOne által megosztott új jelentés szerint a fejlesztőknek az “XcodeSpy” nevű rosszindulatú projekt után kell kutatni. Ez az “EggShell” egyedi változatát telepíti a macOS rendszerű számítógépekre, amely révén hátsó kapun juthatnak be illetéktelenek a gépünkre.
Az Xcode egy kimondottan a fejlesztők számára készült alkalmazás, mely macOS-re ingyenesen érhető el. Az Apple által kiadott eszköz jelentősen megkönnyíti az alkalmazások fejlesztését mind iOS, mind pedig macOS platformra.
A múlt héten az Intego munkatársai egy nemrég feltárt biztonsági hiba első ismert kihasználására találtak rá a macOS-ben. Filippo Cavallarin biztonsági szakértő még februárban fedezte fel azt a “MacOS X GateKeeper Bypass” (sic!) névre hallgató sérülékenységet, ami két, a macOS-ben megtalálható, amúgy legitim funkció kicsit szerencsétlen összjátékából kerekedett ki.
A szimbolikus linkeket, ZIP fájlokat és hálózati meghajtókat is felvonultató bug leegyszerűsítve azzal jár, hogy egy megfelelően összeállított ZIP-et kibontva, majd a benne lévő symlinket követve a gyanútlan felhasználó a támadó által előkészített, automount (automatikusan felcsatolt) hálózati meghajtóra vezethető.
“A telefonod vírusos lett” – az ilyen és ehhez hasonló üzenetek esetén egy, az iOS-es Safariban megtalálható hibát használhattak fel scammerek arra, hogy gyanútlan felhasználókból iTunes-ajándékkártyákat csaljanak ki, vagy alkalmazásokat töltessenek le. A biztonsági rés az iOS 10.2 verziójáig volt jelen, az Apple azt javította az iOS 10.3 megjelenésével.
A “scareware” popuppal zárja ki az iPhone-tulajdonost a készülékéből, és azt is írhatja, hogy vírusos az iPhone.
Az internethasználók megtévesztésére építő zsarolóprogram főleg a pornó- és illegális zeneletöltő oldalak látogatóit vette célba, működése pedig a felugró ablakok kezelésében lévő hibán alapul. Ez lehetővé tette, hogy a kártevő egymás után, folyamatosan, megállíthatatlanul dobjon fel popup üzeneteket, ezzel gyakorlatilag kizárva a készüléktulajdonost a Safariból.
Az iOS 9.3.5 augusztus 25-i megjelenését követően az Apple a macOS-hez is kiadott egy biztonsági frissítést, amellyel megérkezett a Safari 9.1.3-as verziója. Ez azokat a hibákat javítja, amiket néhány hete fedeztek fel az iOS-ben, azonban az Apple asztali operációs rendszerében is jelen voltak.
Ezek a biztonsági rések tették lehetővé iOS-en a Trident exploitrendszer működését, és ezen keresztül a Pegasus nevű spyware létrejöttét, amelyekről már nemrég írtunk.
Augusztus 10-én reggel Ahmed Mansoor, az Egyesült Arab Emírségek ismert emberjogi aktivistája, ismeretlen számról kapott SMS-t az iPhone-jára. Az üzenetben egy link volt, amelyet figyelemfelkeltő szöveg kísért: “Új titkok az Emírségek állami börtöneiben folyó kínzásokról”.
Mansoor azonban, aki már többször volt kormányzati támadások célpontja, előrelátóan cselekedett, és nem kattintott az ismeretlen linkre; azt ehelyett továbbküldte Bill Marczaknak, a Citizen Lab interdiszciplináris kutatóközpont neves információbiztonsági szakemberének.
A crackerek és a “fehérkalapos” információbiztonsági szakemberek macska-egér játéka az iOS szempontjából az elmúlt egy hónapban látszólag egy stabil kéthetes ciklust vett fel. A rosszfiúk által írt programokat a biztonsági elemzők megtalálják, és visszafejtik, majd két hét múlva jön az újabb kellemetlen felfedezés. Azt azért hozzá kell tennünk, hogy a hangzatos tendencia mögött általában jóval hosszabb ideje bújkáló kártevők állnak.
A KeyRaider és az XcodeGhost után ez alkalommal a YiSpecter névre keresztelt malware kódjában gyönyörködhetnek a beavatott szemek, amely – elemzők szerint – mintegy tíz hónapja jelenhetett meg. A változatosság kedvéért a YiSpectert is a Palo Alto Networks munkatársai fedezték fel, elsődleges “célközönsége” pedig, amint azt már szinte megszokhattuk, Kína és Tajvan. (Vajon csak e sorok írója vél felfedezni egy teljesen véletlenszerű mintát az utóbbi idők iOS-kártevőiben…?)
A Palo Alto Networks IT-biztonsági kutatócsoportról már írtunk a KeyRaider kapcsán. A csoport munkatársai a napokban bukkantak rá egy újabb, ezúttal egészen szokatlanul terjedő kártevőre.
A Palo Alto Networks legelső jelentése szerint az XcodeGhost névre keresztelt malware úgy indult útjára, hogy készítői az Apple hivatalos Xcode-kiadását letöltötték, elhelyezték benne a malware-t, visszacsomagolták, majd a népszerű kínai közösségi oldal, a Baidu fájlmegosztó szolgáltatására visszatöltötték a fertőzött fejlesztőeszköz-csomagot. Az Xcode az Apple hivatalos fejlesztőkörnyezete iOS és OS X appok fejlesztéséhez. Mivel Kínában sokszor és sok helyen nagyon lassú az Apple szervereiről való közvetlen letöltés, az Xcode pedig egy több gigabájtos jószág, ezért több kínai fejlesztő dönt úgy, hogy inkább alternatív letöltési oldalakról (“mirror”) illetve kollégák gépéről való átmásolással szerzi be azt. Így terjedt el a rosszindulatú kódot tartalmazó fejlesztőeszköz is (amit ráadásul egy bizonyos felhasználó több kínai fórumon is reklámozott).
A napokban a WeipTech kínai technológiai oldal tagjai (köztük egy i_82 nicknevű egyetemista) és a Palo Alto Networks kollégái közösen találtak rá egy iOS-en futó malware-re. A Palo Alto Networks elemzéséből kiderül, hogy a kémprogram-család megalkotói meglehetősen szokásos módon, az emberi tájékozatlanság-figyelmetlenség-kapzsiság hármasára építve érték el, hogy szoftverük mintegy 20 000 iOS-t futtató készülékre felkerüljön, és azokról körülbelül 225 000 Apple ID-t, titkosítási kulcsot és certificate-et lopjon el.
Mi is történt valójában? Ellentétben az interneten máris sebesen terjedő rémhírekkel, a malware-t nem a Cydia vagy bármiféle hivatalos jailbreakelő szoftver tartalmazta. A KeyRaider ugyanis warez útján terjedt. Pontosabban egyes kínai, nemhivatalos Cydia repository-kban fellehető, az alkalmazáson belüli vásárlásokat (In-app Purchases) feltörő, azokat ingyenessé tevő tweakek tartalmazták. A Palo Alto Networks két rosszindulatú tweaket is említ név szerint: az iappstore és iappinbuy nevűeket.
Még 2014 novemberében bukkant fel a Masque Attack névre keresztelt sebezhetőség: egy megfelelően előkészített app letöltés közben felülírhatott a készüléken egy másik appot. A letöltésre való csábítás pedig érkezhetett üzenetben, emailben, vagy akár egyszerűen csak webböngészés közben.
Akkor a sebezhetőség felfedezői, a FireEye szakértői tájékoztatták a részletekről az Apple-t, összesen öt biztonsági problémát jelentve feléjük, melyekkel négy különböző típusú támadás volt végrehajtható. Az időközben megjelent iOS 8.1.3 már javította ezek egy részét, de nem maradéktalanul – így a szakértők most az iOS URL-sémák kezelési hibájára mutatnak rá, amely jelenleg is megvan.
Mivel az iOS-t futtató eszközökre jóformán alig van bármi kártevő, így amennyiben valami mégis felbukkan, azt azonnal felkapja a média. November 7-én írtunk a WireLurker névre keresztelt trójairól, ami kifejezetten a Mac-es alkalmazások (elsősorban kínai) warezolóit célozta meg. Most egy újabb lehetséges veszélyforrás került elő, aminek a FireEye mobil biztonsági szakértői a Masque Attack nevet adták.
A kutatók már 2014 júliusában felfedezték, hogy ha egy alkalmazás enterprise vagy ad-hoc provisioning segítségével kerül telepítésre a készülékre (tehát nem az App Store-ból, hanem belső intranetről például, vagy mondjuk a TestFlight segítségével), akkor az képes felülírni a készüléken egy, az App Store-ból származó, eredeti verziót is, amennyiben mindkét app esetén ugyanaz a bundle azonosító. Ennek következtében ha egy csalogató szövegű app megvezeti a felhasználót, és az illető annak telepítését jóváhagyja, az gyakorlatilag bármely, az App Store-ból letöltött appot képes felülírni. Ennek az az oka, hogy az iOS nem követeli meg, hogy az azonos bundle azonosítóval rendelkező appok esetén a tanúsítványuk is egyezzen. A kutatók ennek a hibának a meglétét egészen a 7.1.1-ig visszamenően igazolni tudták, és ez még megvan a 8.1.1 beta 1 esetén is, függetlenül attól, hogy a készülékek jailbreakelve vannak-e vagy sem, és a hiba kihasználható nem csak USB-n, de akár az interneten keresztül is.