Компания FireEye сообщила о том, что кибергруппа Hacking Team использовала Masque уязвимость в iOS для компрометации iDevice без jailbreak. Для этого были созданы фальшивые приложения, имитирующие всевозможные их легитимные аналоги для социальных сервисов, включая, WhatsApp, Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram, VK. Приложения содержали идентичный оригинальному идентификатор Bundle ID, что позволяло им получать доступ ко всем данным уже установленного легитимного приложения.
Оригинальная Masque уязвимость (CVE-2014-4493) была закрыта Apple с выходом iOS 8.1.3 еще в начале этого года. С выходом iOS 8.4 были закрыты еще несколько схожих с Masque уязвимостей, которые позволяли приложениям с существующим Bundle ID получать доступ к данным установленного приложения.
Фальшивые аналоги вышеперечисленных легитимных приложений специализировались на краже различной конфиденциальной информации пользователя.
Для создания фальшивого приложения привлекалось легитимное, в которое внедрялось специальное вредоносное содержимое — динамическая библиотека (dylib) с названием _PkgSign. Для того, чтобы заставить iOS выполнить код этой библиотеки, в исполняемый файл приложения (Mach-O) внедрялась команда LC_LOAD_DYLIB.
Вредоносная динамическая библиотека специализируется на перехвате большого количества разнообразных функций, за счет чего достигается получение конфиденциальных данных пользователя. Таким образом, приложение, которое оперирует данными пользователя, отныне не является легитимным, хотя для пользователя это и незаметно, так как оно внешне ничем не отличается от нормального.
Рис. Один из устанавливаемых вредоносной библиотекой перехватов (данные FireEye).
Установка в систему фальшивого приложения с использованием Masque уязвимости является одним из немногих, если не единственным, способом компрометации iOS без jailbreak. Компания Apple ранее предприняла необходимые меры для того, чтобы закрыть связанные с ней уязвимости (CVE-2014-4493, CVE-2015-3722, CVE-2015-3725).
Оригинальная Masque уязвимость (CVE-2014-4493) была закрыта Apple с выходом iOS 8.1.3 еще в начале этого года. С выходом iOS 8.4 были закрыты еще несколько схожих с Masque уязвимостей, которые позволяли приложениям с существующим Bundle ID получать доступ к данным установленного приложения.
Фальшивые аналоги вышеперечисленных легитимных приложений специализировались на краже различной конфиденциальной информации пользователя.
- Записи голосовых разговоров в Skype, Webchat и др.
- Текстовые сообщения различных мессенджеров, включая, Skype, WhatsApp, Facebook messenger.
- Историю посещенных веб-ресурсов для веб-браузера Google Chrome.
- Телефонные звонки.
- Содержимое текстовых сообщений SMS и iMessage.
- Координаты GPS.
- Контактная информация.
- Фото.
Для создания фальшивого приложения привлекалось легитимное, в которое внедрялось специальное вредоносное содержимое — динамическая библиотека (dylib) с названием _PkgSign. Для того, чтобы заставить iOS выполнить код этой библиотеки, в исполняемый файл приложения (Mach-O) внедрялась команда LC_LOAD_DYLIB.
Вредоносная динамическая библиотека специализируется на перехвате большого количества разнообразных функций, за счет чего достигается получение конфиденциальных данных пользователя. Таким образом, приложение, которое оперирует данными пользователя, отныне не является легитимным, хотя для пользователя это и незаметно, так как оно внешне ничем не отличается от нормального.
Рис. Один из устанавливаемых вредоносной библиотекой перехватов (данные FireEye).
Установка в систему фальшивого приложения с использованием Masque уязвимости является одним из немногих, если не единственным, способом компрометации iOS без jailbreak. Компания Apple ранее предприняла необходимые меры для того, чтобы закрыть связанные с ней уязвимости (CVE-2014-4493, CVE-2015-3722, CVE-2015-3725).
