Szerző: Bodnár Ádám

2014. november 11. 10:55

Távolról felülírhatók az iOS-re telepített appok

Még nyáron talált veszélyes sebezhetőséget az iOS-ben a FireEye biztonsági cég, amely fel is hívta az Apple figyelmét a támadásra, érdemi reakciót azonban nem kapott. A bűnözők a sebezhetőséget kihasználva a telefonon vagy tableten futó appokat saját kódra cserélhetik.

Masque Attack lett a neve az iOS ellen indítható támadásnak, amelyet a FireEye biztonsági cég fedezett fel. A hiba lehetőséget ad a támadóknak, hogy a telefon vagy tablet operációs rendszerére telepített alkalmazásokat felülírják és felhasználói adatokhoz férjenek hozzá, esetleg root jogot szerezve korlátlanul tevékenykedjenek.

Nem ellenőrzi a tanúsítványok egyezését az Apple

A támadásra az "enterprise/ad-hoc provisioning" hibája ad lehetőséget. Ezt kimondottan a vállalat alkalmazások terítésére fejlesztette ki az Apple, a segítségével a szervezetek anélkül tudják saját, belsős alkalmazásaikat teríteni a dolgozóik körében, hogy azokat az App Store-ba kellene feltölteniük. Elég az alkalmazás leendő felhasználójának egy üzenetet küldeni a szoftverre mutató linkkel, arra kattintva a szoftver már települ is.

A problémát az jelenti, hogy azonos "bundle indentifier" használata esetén az így telepített alkalmazással felülírható a telefonra már korábban telepített bármelyik app, kivéve az Apple gyári alkalmazásait (pl. Safari) - az iOS ugyanis nem ellenőrzi, hogy az azonos bundle identifiert viselő alkalmazásoknak a tanúsítványa is azonos-e, a FireEye szerint a sebezhetőség az iOS 7.1.1, 7.1.2, 8.0, 8.1 és 8.1.1 béta verziókban egyaránt megtalálható és jailbreakelt eszközökön ugyanúgy jelen van mint nem jailbreakelt mobilokon.

A Masque Attack első lépése valamilyen "social engineering" támadás, vagyis a felhasználókat egy megtévesztő üzenettel rá kell bírnia az alkalmazás telepítésére. Amennyiben az áldozat erre a linkre kattint, a telefonján levő legitim appot lecserélhetik a támadók és aztán adatokat lophatnak, például egy internetbank alkalmazás nyitóképernyőjét lemásolva ellophatják a felhasználó bejelentkezési azonosítóját és jelszavát. Sőt, a lecserélt app összes helyben tárolt adatához hozzáférhetnek ezáltal, például login tokenekhez. Ha a telefonra telepített email-klienst cseréli le a támadó alkalmazása, az összes helyben tárolt levelet olvasni tudja és azokat például egy távoli szerverre továbbíthatja. A támadó appok az operációs rendszer ismert sebezhetőségeit kihasználva root jogosultságot is szerezhetnek és ezt követően az iOS-t futtató telefonon vagy tableten korlátlanul tevékenykedhetnek.

Fejlesztő vagy? Segíts! Hack the Crisis. Gyere hétvégén fejleszteni, csatlakozz a hazai fejlesztői közösséghez!

A Mobile Device Management eszközökkel az ilyen módszerrel telepített appok nem távolíthatók el, mivel a kártékony app a legitim párjának azonosítóját használja - az iOS jelenleg nem ad lehetőséget az MDM-ek számára a tanúsítványinformációk ellenőrzésére. Mivel az alkalmazások terjesztése ebben az esetben nem az App Store-on keresztül történik, a vállalat nem is felügyeli azokat semmilyen formában, nincs jóváhagyási kötelezettsége vagy "vétójoga", így tetszőleges kódot ki lehet küldeni az áldozatoknak.

Július óta ismert a hiba

A FireEye már júliusban értesítette az Apple-t erről a sérülékenységről, azonban nem kapott érdemi reakciót. A vállalat úgy látja, szaporodnak a módszert kihasználó támadások, ezért most nyilvánosságra hozta az információkat, bevallása szerint azért, hogy a lehető legtöbb felhasználó tudatában legyen a kockázatoknak és veszélyeknek. A támadásról részleteket a cég blogján lehet olvasni.

Ha valaki ellenőrizni szeretné, hogy iPhone-jára vagy iPadjére kerültek-e fel appok a Masque Attack révén, iOS 7-en az enterprise provisioning profilokat kell átnéznie, iOS 8-on azonban erre már nincs lehetőség. A támadást kivédeni nem lehet, de ha valaki csak a szervezete által üzemeltetett hivatalos alkalmazás-piactérről telepít appokat, nem kattint rá egy weboldalon felbukkanó "install" gombra, és nem hagyja figyelmen kívül a "megbízhatatlan alkalmazásfejlesztő" figyelmeztetését az operációs rendszernek, nem érheti nagy baj. Azok az otthoni felhasználók, akik csak az App Store-ból töltenek le alkalmazásokat, nincsenek veszélyben.

(Update: a sebezhetőséget nem csak a FireEye találta meg, az i0n1c nicknéven is ismert Stefan Esser német biztonsági szakértő már 2013-ban publikálta.)

a címlapról