Hlavní navigace

První trojan pro iOS využívá nedostatky v DRM Applu

 Autor: Apple
Daniel Dočekal 21. 3. 2016

Palo Alto Networks objevili trojského koně pro iOS, čistě teoreticky opravdu vůbec prvního. A vypadá to na zajímavé zvířátko.

AceDeceiver je dost dobře možná opravdu prvním trojanem pro iOS. Zajímavý je mimo jiné tím, že na rozdíl od dosavadních malwarů nepotřebuje k šíření zneužívat certifikáty. Pro instalaci na zařízení s iOSem totiž nepotřebuje certifikát žádný. To je dost nepříjemná maličkost – obzvlášť s ohledem na to, že ačkoliv Apple už aplikace s AceDeciverem z App Store odstranil, může se vrátit jinudy.

Malware navíc ohrožuje i zařízení bez jailbreaku. Využívá způsob, jakým na iOS funguje DRM (FairPlay), a princip MITM (Man-in-the-nmiddle) útoku, který zdaleka není novinkou. Podle objevitelů z Palo Alto Networks je tento princip používán už někdy od roku 2013 pro šíření pirátských aplikací.

AceDeceiver má v aktuální podobě dvě omezení – jednak se týká pouze čínských uživatelů a za druhé napadá zařízení pouze prostřednictvím PC. Ani jeden z těchto faktů ovšem nemůže být zdrojem nějakého přehnaného klidu.

Útočníci zneužívají toho, že si uživatelé mohou aplikace do svého zařízení stáhnout i přes iTunes ve stolním počítači. Snaží se uživatele zmanipulovat, aby si do počítače s Windows stáhli jimi vytvořený nakažený program. Ten pak umí díky ukradenému autorizačnímu kódu do jakéhokoli zařízení s iOSem, které uživatel k PC připojí, nainstalovat podvržené aplikace. A ty se pak snaží uživatele připojit k útočníky provozovanému obchodu s aplikacemi, kde se je snaží přesvědčit k zadání Apple ID a hesla.

K autorizačnímu kódu se útočníci dostanou tak, že na App Store koupí nějakou aplikaci a její kód pak odchytí a uloží. Použijí jej potom pro instalaci aplikace, o které si iOS bude myslet, že si ji napadený uživatel legitimně pořídil. Ve výsledku je tak možné do iOSu bez vědomí uživatele dostat jakoukoliv aplikaci, aniž by ji uživatel zařízení koupil.

Do App Store se původně v období mezi červencem 2015 a únorem 2016 dostaly tři různé aplikace s AceDeceiverem. Všechny se vydávaly za aplikace poskytující obrázky na plochu a bez problémů prošly kontrolou Applu minimálně sedmkrát – jak při prvotním nahrání, tak při aktualizacích. Podařilo se jim to změnou chování aplikace podle toho, z jakého místa na světě je spouštěna. AceDeceiver se totiž chová jako malware pouze, pokud je spuštěn v Číně.

Apple tyto aplikace odstranil z App Store až v únoru 2016 poté, co Palo Alto Networks upozornili na jejich existenci. Což ale neznamená, že už se nebudou dále šířit – použitá metoda útoku se dá snadno zopakovat.

Součástí aktivit útočníků je i aplikace pro Windows (Aisi Helper), která slibuje uživatelům pomoc při reinstalaci systému, jailbreaku, zálohování zařízení, správě zařízení a čištění systému. Ve skutečnosti instaluje škodlivé aplikace na zařízení, která jsou k počítači připojena. Ty potom zajistí napojení na vlastní aplikační obchod a od uživatelů zjistí jejich přihlašovací údaje k jejich účtu od Apple. Ty pochopitelně poskytne útočníkovi.

CIF16

Jak Palo Alto Networks upozorňují, jde o nebezpečnou situaci, kdy instalace malware nevyžaduje certifikáty a může se dít bez vědomí uživatele. Apple navíc své bezpečnostní nedostatky stále neopravil. To, že se šíření malwaru omezilo pouze na Čínu, neznamená v zásadě nic – geolokační omezení lze kdykoliv změnit. Nutnost infikovat při útoku počítač uživatele je sice omezující, ale ne až tolik.

Ani to, že onen program pro Windows je aktuálně dostupný jen v čínštině, také není nijak zvlášť uklidňující fakt. Ochota uživatelů nainstalovat si cokoliv, co jim „pomůže“ s jejich iPhonem či iPadem, znamená, že stačí vypustit do světa anglickou verzi a pak už jen čekat. Aisi Helper má navíc podle všeho přes 15 milionů uživatelů a poměrně dlouho neobsahoval žádný škodlivý kód, ten se měl objevit až někdy v roce 2015.

Našli jste v článku chybu?
Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje