Szerző: Bodnár Ádám

2014. február 26. 09:09

Minden felhasználói interakció monitorozható iOS-en

A FireEye biztonsági cég egy szoftverhibán keresztül az iOS-felhasználók minden tevékenységét monitorozó és rögzítő kódot készített. Az Apple közben az OS X-ben is kijavította a goto fail hibát.

Olyan sebezhetőséget fedezett fel az iOS operációs rendszerben a FireEye biztonsági cég, amely lehetővé teszi a támadók számára, hogy minden felhasználói interakciót rögzítsenek és tároljanak. A hibát kihasználva a fizikai gombok (home, hangerő) mellett az érintőképernyőn végrehajtott összes interakció is megfigyelhető.

A vállalat épített is egy "proof of concept" alkalmazást, amely a nem jailbreakelt telefonon a háttérben futva képes minden felhasználói interakciót naplózni és azokat egy távoli szerverre továbbítja. A FireEye blogbejegyzése szerint a kód a legfrissebb iOS-verziókon is működik, beleértve a hétvégén kiadott 7.0.6 és 6.1.6 verziókat, valamint a korábbi változatokat is. A vállalat szerint bűnözők phishing vagy más technika segítségével rávehetik az áldozatokat egy ilyen alkalmazás telepítésére és teljes megfigyelés alá vonhatják a tevékenységüket.

Hogyan akadályoz meg egy fejlesztő 14 karakterrel egy hackertámadást (x)

Sokszor gondoljuk, hatalmas erőfeszítés ellehetetleníteni egy támadást, pedig nem feltétlenül.

Hogyan akadályoz meg egy fejlesztő 14 karakterrel egy hackertámadást (x) Sokszor gondoljuk, hatalmas erőfeszítés ellehetetleníteni egy támadást, pedig nem feltétlenül.

Az operációs rendszerben kikapcsolható a háttérben futó alkalmazásoknál a frissítés, amely elméletileg megakadályozza az ilyen alkalmazások futását. A FireEye szerint azonban ezt egyszerű megkerülni, ha a kémkedő alkalmazás például zenelejátszónak álcázza magát, zenét lejátszani ugyanis a "background app refresh" nélkül is lehet a háttérből iOS-en. Az iOS-felhasználók jelenleg úgy tudnak védekezni az ilyen támadások ellen, ha a task menedzserből leállítják a háttérben futó alkalmazásokat.

Az Apple időközben frissítést adott ki az OS X-hez, amelyben az iOS-hez hasonlóan kijavította a goto fail néven elhíresült hibát. Az SSL-implementációban egy megduplázott sor miatt minden tanúsítványt elfogadott a rendszer, ezzel gyakorlatilag átjáróházzá vált a támadók számára.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról