Hlavní navigace

První trojan pro iOS využívá nedostatky v DRM Applu

 Autor: Apple
Daniel Dočekal 21. 3. 2016

Palo Alto Networks objevili trojského koně pro iOS, čistě teoreticky opravdu vůbec prvního. A vypadá to na zajímavé zvířátko.

AceDeceiver je dost dobře možná opravdu prvním trojanem pro iOS. Zajímavý je mimo jiné tím, že na rozdíl od dosavadních malwarů nepotřebuje k šíření zneužívat certifikáty. Pro instalaci na zařízení s iOSem totiž nepotřebuje certifikát žádný. To je dost nepříjemná maličkost – obzvlášť s ohledem na to, že ačkoliv Apple už aplikace s AceDeciverem z App Store odstranil, může se vrátit jinudy.

Malware navíc ohrožuje i zařízení bez jailbreaku. Využívá způsob, jakým na iOS funguje DRM (FairPlay), a princip MITM (Man-in-the-nmiddle) útoku, který zdaleka není novinkou. Podle objevitelů z Palo Alto Networks je tento princip používán už někdy od roku 2013 pro šíření pirátských aplikací.

AceDeceiver má v aktuální podobě dvě omezení – jednak se týká pouze čínských uživatelů a za druhé napadá zařízení pouze prostřednictvím PC. Ani jeden z těchto faktů ovšem nemůže být zdrojem nějakého přehnaného klidu.

Útočníci zneužívají toho, že si uživatelé mohou aplikace do svého zařízení stáhnout i přes iTunes ve stolním počítači. Snaží se uživatele zmanipulovat, aby si do počítače s Windows stáhli jimi vytvořený nakažený program. Ten pak umí díky ukradenému autorizačnímu kódu do jakéhokoli zařízení s iOSem, které uživatel k PC připojí, nainstalovat podvržené aplikace. A ty se pak snaží uživatele připojit k útočníky provozovanému obchodu s aplikacemi, kde se je snaží přesvědčit k zadání Apple ID a hesla.

K autorizačnímu kódu se útočníci dostanou tak, že na App Store koupí nějakou aplikaci a její kód pak odchytí a uloží. Použijí jej potom pro instalaci aplikace, o které si iOS bude myslet, že si ji napadený uživatel legitimně pořídil. Ve výsledku je tak možné do iOSu bez vědomí uživatele dostat jakoukoliv aplikaci, aniž by ji uživatel zařízení koupil.

Do App Store se původně v období mezi červencem 2015 a únorem 2016 dostaly tři různé aplikace s AceDeceiverem. Všechny se vydávaly za aplikace poskytující obrázky na plochu a bez problémů prošly kontrolou Applu minimálně sedmkrát – jak při prvotním nahrání, tak při aktualizacích. Podařilo se jim to změnou chování aplikace podle toho, z jakého místa na světě je spouštěna. AceDeceiver se totiž chová jako malware pouze, pokud je spuštěn v Číně.

Apple tyto aplikace odstranil z App Store až v únoru 2016 poté, co Palo Alto Networks upozornili na jejich existenci. Což ale neznamená, že už se nebudou dále šířit – použitá metoda útoku se dá snadno zopakovat.

Součástí aktivit útočníků je i aplikace pro Windows (Aisi Helper), která slibuje uživatelům pomoc při reinstalaci systému, jailbreaku, zálohování zařízení, správě zařízení a čištění systému. Ve skutečnosti instaluje škodlivé aplikace na zařízení, která jsou k počítači připojena. Ty potom zajistí napojení na vlastní aplikační obchod a od uživatelů zjistí jejich přihlašovací údaje k jejich účtu od Apple. Ty pochopitelně poskytne útočníkovi.

Jak Palo Alto Networks upozorňují, jde o nebezpečnou situaci, kdy instalace malware nevyžaduje certifikáty a může se dít bez vědomí uživatele. Apple navíc své bezpečnostní nedostatky stále neopravil. To, že se šíření malwaru omezilo pouze na Čínu, neznamená v zásadě nic – geolokační omezení lze kdykoliv změnit. Nutnost infikovat při útoku počítač uživatele je sice omezující, ale ne až tolik.

Ani to, že onen program pro Windows je aktuálně dostupný jen v čínštině, také není nijak zvlášť uklidňující fakt. Ochota uživatelů nainstalovat si cokoliv, co jim „pomůže“ s jejich iPhonem či iPadem, znamená, že stačí vypustit do světa anglickou verzi a pak už jen čekat. Aisi Helper má navíc podle všeho přes 15 milionů uživatelů a poměrně dlouho neobsahoval žádný škodlivý kód, ten se měl objevit až někdy v roce 2015.

Našli jste v článku chybu?

21. 3. 2016 10:13

Vilda (neregistrovaný)

Tak dobry na tom je, ze se opet musi kombinovat chyby na ruznych stranach.
Dalsi vec je ta kdo jeste dneska pripojiuje pro kopirovani programu zarizeni k poctaci?
Takze opet hlavne problem pro ty co stahujou z nelegalnich zdroju.
V uplne posledni rade zatim dobry ze cilem je Cina.




Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Dva doklady netřeba, dejte to na účtenku k EET

Dva doklady netřeba, dejte to na účtenku k EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání