OSX/Linker: egy kiskapu, amit nem véd a GateKeeper

A múlt héten az Intego munkatársai egy nemrég feltárt biztonsági hiba első ismert kihasználására találtak rá a macOS-ben. Filippo Cavallarin biztonsági szakértő még februárban fedezte fel azt a “MacOS X GateKeeper Bypass” (sic!) névre hallgató sérülékenységet, ami két, a macOS-ben megtalálható, amúgy legitim funkció kicsit szerencsétlen összjátékából kerekedett ki.

A szimbolikus linkeket, ZIP fájlokat és hálózati meghajtókat is felvonultató bug leegyszerűsítve azzal jár, hogy egy megfelelően összeállított ZIP-et kibontva, majd a benne lévő symlinket követve a gyanútlan felhasználó a támadó által előkészített, automount (automatikusan felcsatolt) hálózati meghajtóra vezethető.

Tovább olvasom

iSamurai iPhone szerviz akció

Az iOS 10.3-mal vége “A telefonod vírusos lett” című becsapós üzeneteknek

“A telefonod vírusos lett” – az ilyen és ehhez hasonló üzenetek esetén egy, az iOS-es Safariban megtalálható hibát használhattak fel scammerek arra, hogy gyanútlan felhasználókból iTunes-ajándékkártyákat csaljanak ki, vagy alkalmazásokat töltessenek le. A biztonsági rés az iOS 10.2 verziójáig volt jelen, az Apple azt javította az iOS 10.3 megjelenésével.

10.3-ban már nem lehetséges az iPhone vírus

A “scareware” popuppal zárja ki az iPhone-tulajdonost a készülékéből, és azt is írhatja, hogy vírusos az iPhone.

Az internethasználók megtévesztésére építő zsarolóprogram főleg a pornó- és illegális zeneletöltő oldalak látogatóit vette célba, működése pedig a felugró ablakok kezelésében lévő hibán alapul. Ez lehetővé tette, hogy a kártevő egymás után, folyamatosan, megállíthatatlanul dobjon fel popup üzeneteket, ezzel gyakorlatilag kizárva a készüléktulajdonost a Safariból.

Tovább olvasom

iSamurai iPhone szerviz akció

A macOS is megkapta a Trident exploitok elleni frissítést

Az iOS 9.3.5 augusztus 25-i megjelenését követően az Apple a macOS-hez is kiadott egy biztonsági frissítést, amellyel megérkezett a Safari 9.1.3-as verziója. Ez azokat a hibákat javítja, amiket néhány hete fedeztek fel az iOS-ben, azonban az Apple asztali operációs rendszerében is jelen voltak.

WWDC_OSX-1024x768

Ezek a biztonsági rések tették lehetővé iOS-en a Trident exploitrendszer működését, és ezen keresztül a Pegasus nevű spyware létrejöttét, amelyekről már nemrég írtunk.

Tovább olvasom

iSamurai iPhone szerviz akció

Trident és Pegasus: az iOS-malware Szent Grálja

Augusztus 10-én reggel Ahmed Mansoor, az Egyesült Arab Emírségek ismert emberjogi aktivistája, ismeretlen számról kapott SMS-t az iPhone-jára. Az üzenetben egy link volt, amelyet figyelemfelkeltő szöveg kísért: “Új titkok az Emírségek állami börtöneiben folyó kínzásokról”.

mansoor

Mansoor azonban, aki már többször volt kormányzati támadások célpontja, előrelátóan cselekedett, és nem kattintott az ismeretlen linkre; azt ehelyett továbbküldte Bill Marczaknak, a Citizen Lab interdiszciplináris kutatóközpont neves információbiztonsági szakemberének.

Tovább olvasom

iSamurai iPhone szerviz akció

YiSpecter: privát API-k kihasználásával fertőző malware

A crackerek és a “fehérkalapos” információbiztonsági szakemberek macska-egér játéka az iOS szempontjából az elmúlt egy hónapban látszólag egy stabil kéthetes ciklust vett fel. A rosszfiúk által írt programokat a biztonsági elemzők megtalálják, és visszafejtik, majd két hét múlva jön az újabb kellemetlen felfedezés. Azt azért hozzá kell tennünk, hogy a hangzatos tendencia mögött általában jóval hosszabb ideje bújkáló kártevők állnak.

YiSpecter32-500x369

KeyRaider és az XcodeGhost után ez alkalommal a YiSpecter névre keresztelt malware kódjában gyönyörködhetnek a beavatott szemek, amely – elemzők szerint – mintegy tíz hónapja jelenhetett meg. A változatosság kedvéért a YiSpectert is a Palo Alto Networks munkatársai fedezték fel, elsődleges “célközönsége” pedig, amint azt már szinte megszokhattuk, Kína és Tajvan. (Vajon csak e sorok írója vél felfedezni egy teljesen véletlenszerű mintát az utóbbi idők iOS-kártevőiben…?)

Tovább olvasom

iSamurai iPhone szerviz akció

XcodeGhost: egy szokatlan módon fertőző malware

A Palo Alto Networks IT-biztonsági kutatócsoportról már írtunk a KeyRaider kapcsán. A csoport munkatársai a napokban bukkantak rá egy újabb, ezúttal egészen szokatlanul terjedő kártevőre.

icon256

A Palo Alto Networks legelső jelentése szerint az XcodeGhost névre keresztelt malware úgy indult útjára, hogy készítői az Apple hivatalos Xcode-kiadását letöltötték, elhelyezték benne a malware-t, visszacsomagolták, majd a népszerű kínai közösségi oldal, a Baidu fájlmegosztó szolgáltatására visszatöltötték a fertőzött fejlesztőeszköz-csomagot. Az Xcode az Apple hivatalos fejlesztőkörnyezete iOS és OS X appok fejlesztéséhez. Mivel Kínában sokszor és sok helyen nagyon lassú az Apple szervereiről való közvetlen letöltés, az Xcode pedig egy több gigabájtos jószág, ezért több kínai fejlesztő dönt úgy, hogy inkább alternatív letöltési oldalakról (“mirror”) illetve kollégák gépéről való átmásolással szerzi be azt. Így terjedt el a rosszindulatú kódot tartalmazó fejlesztőeszköz is (amit ráadásul egy bizonyos felhasználó több kínai fórumon is reklámozott).

Tovább olvasom

iSamurai iPhone szerviz akció

KeyRaider: az iOS-malware, amely Apple ID-k százezreit lopta el

A napokban a WeipTech kínai technológiai oldal tagjai (köztük egy i_82 nicknevű egyetemista) és a Palo Alto Networks kollégái közösen találtak rá egy iOS-en futó malware-re. A Palo Alto Networks elemzéséből kiderül, hogy a kémprogram-család megalkotói meglehetősen szokásos módon, az emberi tájékozatlanság-figyelmetlenség-kapzsiság hármasára építve érték el, hogy szoftverük mintegy 20 000 iOS-t futtató készülékre felkerüljön, és azokról körülbelül 225 000 Apple ID-t, titkosítási kulcsot és certificate-et lopjon el.

adat_biztonsag

Mi is történt valójában? Ellentétben az interneten máris sebesen terjedő rémhírekkel, a malware-t nem a Cydia vagy bármiféle hivatalos jailbreakelő szoftver tartalmazta. A KeyRaider ugyanis warez útján terjedt. Pontosabban egyes kínai, nemhivatalos Cydia repository-kban fellehető, az alkalmazáson belüli vásárlásokat (In-app Purchases) feltörő, azokat ingyenessé tevő tweakek tartalmazták. A Palo Alto Networks két rosszindulatú tweaket is említ név szerint: az iappstore és iappinbuy nevűeket.

Tovább olvasom

iSamurai iPhone szerviz akció

Masque Attack II: még az iOS 8.1.3 sem teljesen védett ellene

Még 2014 novemberében bukkant fel a Masque Attack névre keresztelt sebezhetőség: egy megfelelően előkészített app letöltés közben felülírhatott a készüléken egy másik appot. A letöltésre való csábítás pedig érkezhetett üzenetben, emailben, vagy akár egyszerűen csak webböngészés közben.

adat_biztonsag

Akkor a sebezhetőség felfedezői, a FireEye szakértői tájékoztatták a részletekről az Apple-t, összesen öt biztonsági problémát jelentve feléjük, melyekkel négy különböző típusú támadás volt végrehajtható. Az időközben megjelent iOS 8.1.3 már javította ezek egy részét, de nem maradéktalanul – így a szakértők most az iOS URL-sémák kezelési hibájára mutatnak rá, amely jelenleg is megvan.

Tovább olvasom

iSamurai iPhone szerviz akció

Masque Attack: itt az újabb, lehetséges veszély

Mivel az iOS-t futtató eszközökre jóformán alig van bármi kártevő, így amennyiben valami mégis felbukkan, azt azonnal felkapja a média. November 7-én írtunk a WireLurker névre keresztelt trójairól, ami kifejezetten a Mac-es alkalmazások (elsősorban kínai) warezolóit célozta meg. Most egy újabb lehetséges veszélyforrás került elő, aminek a FireEye mobil biztonsági szakértői a Masque Attack nevet adták.

adat_biztonsag

A kutatók már 2014 júliusában felfedezték, hogy ha egy alkalmazás enterprise vagy ad-hoc provisioning segítségével kerül telepítésre a készülékre (tehát nem az App Store-ból, hanem belső intranetről például, vagy mondjuk a TestFlight segítségével), akkor az képes felülírni a készüléken egy, az App Store-ból származó, eredeti verziót is, amennyiben mindkét app esetén ugyanaz a bundle azonosító. Ennek következtében ha egy csalogató szövegű app megvezeti a felhasználót, és az illető annak telepítését jóváhagyja, az gyakorlatilag bármely, az App Store-ból letöltött appot képes felülírni. Ennek az az oka, hogy az iOS nem követeli meg, hogy az azonos bundle azonosítóval rendelkező appok esetén a tanúsítványuk is egyezzen. A kutatók ennek a hibának a meglétét egészen a 7.1.1-ig visszamenően igazolni tudták, és ez még megvan a 8.1.1 beta 1 esetén is, függetlenül attól, hogy a készülékek jailbreakelve vannak-e vagy sem, és a hiba kihasználható nem csak USB-n, de akár az interneten keresztül is.

Tovább olvasom

iSamurai iPhone szerviz akció

WireLurker: ha warezolsz, semmin se csodálkozz

Nem hinnénk, hogy túl nagy újdonságot mondanánk azzal, hogy nem érdemes warezolni, mert könnyen pórul járhat az ember, elvégre semmi sincs ingyen, és noha az adott alkalmazás tört verziójáért nem kellett kifizetni semmit, az még legkevésbé sem jelenti azt, hogy cserébe ne kapnánk némi pluszt is ajándékba.

adat_biztonsag

A jailbreaket a warezzal rendszeresen és következetesen összemosók már ebben az esetben is épp cinikusan összekacsintottak, mikor az is kiderült, hogy valójában nem sokat számít a WireLurker szempontjából, hogy a készülék fel van-e törve, mert a jailbreak nélküli készülékekre is fel tudta telepíteni, amit akart, mindössze egy enterprise provisioning profil segítségével. Lássuk, mit érdemes tudni róla, és mit lehet tenni ellene.

Tovább olvasom

iSamurai iPhone szerviz akció