FireEye ค้นพบ iOS Masque Attack, Apple downplays ภัยคุกคาม

ผู้เชี่ยวชาญด้านความปลอดภัยของคอมพิวเตอร์เตือนลูกค้า Apple เกี่ยวกับบั๊กใหม่ที่มีผลต่ออุปกรณ์ iOS เช่น iPhone และ iPad โพสต์นี้เป็นความต่อเนื่องของการเปิดตัวเมื่อสัปดาห์ที่แล้วเกี่ยวกับความปลอดภัยในอุปกรณ์ Apple ของคุณ.

ทีมงานเตรียมความพร้อมฉุกเฉินคอมพิวเตอร์ของสหรัฐ (US-CERT) กล่าวเมื่อวันพฤหัสบดีว่าผู้ใช้อุปกรณ์ดังกล่าวที่ทำงานบน iOS เวอร์ชันล่าสุดควรระมัดระวังเกี่ยวกับสิ่งที่พวกเขาคลิก ทีมยังแนะนำให้ผู้ใช้ไม่ต้องติดตั้งแอพจากที่อื่นนอกจากองค์กรของตนเองหรือ App Store อย่างเป็นทางการของ Apple CERT เตือนอีกครั้งไม่ให้เปิดแอปหากการแจ้งเตือนว่า“ ไม่น่าเชื่อถือสำหรับผู้พัฒนาแอป” โดยบอกว่าผู้ใช้ควรคลิกที่“ ไม่น่าเชื่อถือ” ก่อนที่จะลบทันที.

มีการค้นพบการโจมตีที่เรียกว่า“ Masque Attack” ในเดือนกรกฎาคม 2557 โดย FireEye และรายงานไปยัง Apple ในวันที่ 26 ของเดือนเดียวกัน (นักวิจัยด้านความปลอดภัย Stefan Esser แห่ง SektionEins อาจค้นพบการโจมตีที่คล้ายคลึงกันหรือใกล้เคียงกันในปีที่แล้ว สู่การประชุม SyScan 2013.

ในบล็อกโพสต์เมื่อวันจันทร์ที่ผ่านมา บริษัท กล่าวว่าเชื่อว่าเวอร์ชั่นใหม่ของ iOS นั้นยังคงมีช่องโหว่อยู่และสามารถถูกโจมตีผ่านแคมเปญการโจมตีแบบสวมหน้ากากที่พวกเขาได้ขนานนามว่า“ WireLurker”

WireLurker เป็นมัลแวร์ตัวแรกที่สามารถแพร่กระจายจากระบบ Mac OS X ที่ติดเชื้อไปยังอุปกรณ์ iOS ที่ไม่มีการเจลเบรคได้และมีรายงานว่ามีการดาวน์โหลดมากกว่า 350,000 ครั้งแล้ว.

US-CERT อธิบายว่า Masque Attack ทำงานอย่างไร:

“ การโจมตีนี้ทำงานโดยล่อลวงผู้ใช้ให้ติดตั้งแอพจากแหล่งอื่นนอกเหนือจาก iOS App Store หรือระบบการจัดสรรขององค์กร เพื่อให้การโจมตีสำเร็จผู้ใช้จะต้องติดตั้งแอปที่ไม่น่าเชื่อถือเช่นแอปที่ส่งผ่านลิงก์ฟิชชิ่ง.

เทคนิคนี้ใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยที่อนุญาตให้แอปที่ไม่น่าไว้วางใจซึ่งมี“ ตัวระบุบันเดิล” เหมือนกับแอปที่ถูกกฎหมาย – เพื่อแทนที่แอปที่ถูกต้องบนอุปกรณ์ที่ได้รับผลกระทบในขณะที่เก็บข้อมูลทั้งหมดของผู้ใช้ ช่องโหว่นี้มีอยู่เนื่องจาก iOS ไม่บังคับใช้ใบรับรองที่ตรงกันสำหรับแอพที่มีตัวระบุกลุ่มเดียวกัน แอปแพลตฟอร์ม iOS ของ Apple ของตัวเองเช่น Mobile Safari จะไม่มีช่องโหว่”

ทีมฉุกเฉินของคอมพิวเตอร์กล่าวต่อว่ามีการติดตั้งแอพในลักษณะนี้สามารถคัดลอกส่วนต่อประสานผู้ใช้ของแอพเดิมซึ่งเป็นการหลอกลวงผู้ใช้ให้ป้อนชื่อผู้ใช้และรหัสผ่าน นอกจากนี้ยังสามารถขโมยข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนอื่น ๆ จากแคชข้อมูลในพื้นที่เช่นเดียวกับการตรวจสอบพื้นหลังของอุปกรณ์ สุดท้ายมันสามารถดักฟังสิทธิ์รูทไปยังอุปกรณ์ iOS ที่ติดตั้งไว้ทั้งหมดเพราะมันแยกไม่ออกจากแอปจริง.

ด้วย FireEye ที่บอกว่าได้ยืนยันการโจมตีประเภทนี้รวมถึงการอัพโหลดข้อมูลไปยังเซิร์ฟเวอร์ระยะไกลคุณจะคิดว่า Apple จะย้ายไปแก้ไขข้อผิดพลาดโดยเฉพาะอย่างยิ่งเมื่อ บริษัท รักษาความปลอดภัยมีเวลาน้อยในการมองหาศักยภาพอื่น ๆ ที่เกี่ยวข้อง การโจมตีที่อาจปรากฏ.

นี่ไม่ใช่กรณีที่ Apple แจ้งว่าไม่มีใครได้รับผลกระทบจากช่องโหว่ดังกล่าวซึ่งเป็นการยืนยันว่าแมลงวันต้องเผชิญกับบล็อกโพสต์จาก Kaspersky Lab ซึ่งชี้ให้เห็นว่า WireLurker อ้างว่าเป็นเหยื่อ.

หากคุณต้องการที่จะเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการโจมตีของ iOS Masque FireEye ได้อัปโหลดวิดีโอสาธิต: