Agyafúrt trükkel támadható az iPhone

Az ártalmatlan, teljesen legális Apple iOS kompatibilis alkalmazások némi trükközéssel káros szoftverek futtatását segíthetik elő a támadók számára. Nehéz észrevenni, ha mindez bekövetkezik.
 

Az Apple iOS operációs rendszere napjaink fenyegetettségeinek szempontjából kevesebb kockázatot hordoz, mint a jóval többet ostromolt Android. Ez egyebek mellett annak köszönhető, hogy az Apple szigorúbb előírásokat támaszt a fejlesztőkkel és az App Store-ban publikált alkalmazásokkal szemben. Noha a Google is folyamatosan erősíti a védelmi vonalait, a biztonsági statisztikák egyelőre az iOS mellett szólnak. Ennek ellenére időről időre felbukkannak olyan technikák, ártalmas kódok, amelyek képesek veszélyeztetni az iPhone és iPad készlékeket, illetve az azokon tárolt adatokat. A legnevesebb iOS kompatibilis kártevők között említhetjük például a WireLurker, a YiSpecter vagy az XCodeGhost nevű szerzeményeket.

Azt sem lehet kijelenteni, hogy a kiberbűnözők és a biztonsági kutatók hanyagolnák az Apple mobil platformját. Legutóbb a Black Hat Asia konferencián került sor egy olyan érdekes előadásra, amely az iOS védelem megkerülésének egy újabb módját szemléltette. A prezentációt Chilik Tamir, az Mi3 Security biztonsági szakérője tartotta, aki egy olyan saját fejlesztésű eszközt is bemutatott, amivel az újonnan kidolgozott támadás automatizálhatóvá válhat. A proof-of-concept állapotban lévő eszköz a Su-A-Cyder nevet kapta, és a célja, hogy nemkívánatos kódokat telepítsen fel az iPhone vagy iPad készülékekre még akkor is, ha azok nincsenek jailbreakelve.

Tamir az előadása során elárulta, hogy az Apple által nemrégen bemutatott egyik fejlesztői lehetőséget használta ki. Elmondta, hogy az Apple az Xcode 7 kiadásával módot adott arra, hogy a fejlesztők olyan iOS kompatibilis alkalmazásokat készítsenek, amelyekhez nincs szükség másra, mint egy Apple ID-ra, aminek a létrehozása gyerekjáték. A lényeg, hogy az így létrehozott alkalmazásokhoz nincs szükség tanúsítványokra, és arra sem, hogy az appok átessenek az Apple ellenőrzésein. Cserébe viszont nem lehet azokat feltölteni az App Store-ba, és néhány funkciót sem lehet velük elérni. Így például nem alkalmasak az Apple Pay használatára, az iCloudhoz való teljes körű csatlakozásra és a Passbook igénybe vételére sem. Tamir szerint viszont e szoftverek lekérdezhetik a GPS-koordinátákat, elérhetik a címjegyezéket és a naptárat, de akár még a HealthKit is nyitott könyv számukra. Vagyis adatlopásra felhasználhatók, a kérdés már csak az, hogy miként lehet azokat működésre bírni a készülékeken. 
A biztonsági kutató elmondta, hogy az általa kidolgozott módszer célzott támadások során használható akkor, amikor a támadó fizikailag is hozzáfér a felhasználó készülékéhez, és szükség esetén fel tudja oldani a képernyőzárat. Vagyis széles körű, tömeges károkozásokról ez esetben sincs szó. Az új technika bevetésével legitim alkalmazások cserélhetők le, miközben a kártékony program az eredeti app nevében és jogosultságainak megfelelően fut. Méghozzá olyan módon, hogy abból a felhasználó első ránézésre semmit sem vesz észre. Tamir a demója során a Skype adta lehetőségekkel élt vissza, de elmondása szerint a trükk más, népszerű alkalmazásokkal is működik.

Ismert technika egy kis csavarral

Az iOS esetében az alkalmazáscserés támadások nem számítanak új jelenségnek. Az Apple e téren az iOS 8.3 kiadásával szigorított, azóta nem engedi a szoftverek azonos azonosítóval (bundle ID-val) történő telepítését. Ezen a ponton kap szerepet a Tamir által kidolgozott SandJacking technika. Ennek lényege, hogy a támadónak először egy mentést kell készítenie. Majd el kell távolítania a kiszemelt legális alkalmazást, és fel kell telepítenie annak kártékony változatát. Ezt követően pedig egy adathelyreállítást kell végeznie az iOS segítségével. Ekkor az operációs rendszer nem távolítja el vagy írja felül az ártalmas programot, az továbbra is működképes marad, és már minden olyan adatot el fog érni, amit az eredeti, ártalmatlan app. Vagyis bekerül abba a sandboxba, amelyben a célkeresztbe állított szoftver fut. Ezt a folyamatot automatizálja a Tamir által fejlesztett eszköz.

A biztonsági szakember szerint a trükközés csak akkor vehető észre, ha a felhasználó ellenőrzi az alkalmazások tanúsítványait, vagy az alkalmazásokhoz rendelt engedélyeket. Mindez azonban nem tartozik a gyakori felhasználói tevékenységek közé, így az ártalmas kód sokáig észrevétlenül futhat a háttérben. 

Tamir elárulta, hogy a felfedezését már tavaly decemberben jelezte az Apple-nek, azonban a vállalat még nem dolgozta ki az ellenszert. Amíg ez nem történik meg, addig a szakember nem teszi letölthetővé az új eszközét.