Hlavní navigace

Apple zlehčuje chybu Masque Attack, umožňující v iOS podvrhnout aplikace

Daniel Dočekal

„Masque Attack“ umožňuje na iOSu podvrhnout aplikaci a vyměnit tak některou běžně používanou za škodlivou.

Nedostatek bezpečnosti v iOSu nemá podle Apple žádný podstatný význam – nebyla prý nikým využita a bezpečnostní opatření zabraňují tomu, aby se škodlivé aplikace mohly do mobilu či tabletu dostat.

„Masque Attack“ objevený výzkumníky z FireEye spočívá v možnosti podvrhnout jakoukoliv aplikaci a vyměnit ji za škodlivou. Nutnou podmínkou nicméně stále je, že musí jít o situaci, kdy uživatel aplikace instaloval odjinud než z App Store. Nutnou podmínkou zde ale není jailbreak – aplikace lze do iOSu dostat přímo přes iTunes.

Při samotné instalaci aplikace je zobrazeno varování, ale jak víme z jiných situací, uživatelé podobná varování nejenom moc nechápou, ale hlavně většinou neřeší. Klasické chování „je tam ANO, OK, tak to stisknu“ je natolik zažité, že nelze moc očekávat zodpovědné chování.


Autor: FireEye

Zpochybňující a zlehčující reakce Apple se ale moc nelíbí FireEye; v Masque Attack: All Your iOS Apps Belong to Us píší, že Apple na chybu upozornili už 26. července. A co navíc, nedávno objevený malware WireLurker určitým způsobem využívá právě mechanismus této chyby.

Apple na chybu zareagoval vytvořením stránky iOS: When you install custom enterprise apps, kde se sice o bezpečnostním nedostatku přímo nehovoří, ale je zde jasně vidět, že do iOSu je nejenom možné dostat aplikace odjinud než z App Store, ale hlavně také to, že pro firmy je něco takového poměrně důležité. 

A jediný mechanismus tomu bránící je právě ona otázka – tedy zda chcete instalovat aplikaci z „nedůvěryhodného zdroje“. A tím může být i webová stránka. 

Našli jste v článku chybu?

19. 11. 2014 11:37

Nechápu, jak si někdo může vyhodit dva milióny za předražený krám, jakým je Mercedes S-klasse.

Pořídil jsem si konkurenční značku (a zmíním, co přesně, ať to každý vidí) Kia Opirus s cenou lehce přes milion. Motor méně žere, volant a sedačky to taky má, okna dokonce na elektřinu, taky palubní počítač a rádio s možností dodat CD.

Domnívám se, že jsem si koupil lepší, výkonnější a ještě k tomu o milion CZK levnější auto. Osobně si nemyslím, že by Mercedes stál za ty peníze navíc. Ani ta pofidérn…

19. 11. 2014 10:39

nnddsf (neregistrovaný)

analyza jasne rika ze vetsina applikaci na Apple store je crap, a jejich store ma nejvetsi procento crapu ze vsech platforem

duvod je jasny - nejvetsi pocet telefonu, ktere pouzivaji ovce, tudiz vetsi sance a navic platforma sama je tak zastarala, ze vyvojari maji obecne problem - pocet API, jejich vlastnosti atd...

kde je crap, je samozrejme vetsi tlak na podvody
a uzivatele serou na permissions, dalsi problem

ostatne malo ctere, podvodnych app je na apple dost a PO odhaleni jsou stahovany


Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)