FireEye investigadores de seguridad móvil han descubierto un fallo de seguridad de iOS que permite a los atacantes reemplazar sus aplicaciones reales con malware.
La vulnerabilidad fue descubierta en julio de 2014. FireEye encontró que al instalar una aplicación utilizando el aprovisionamiento de la empresa / ad-corvejón, podría reemplazar a una aplicación genuina si tuviera el mismo identificador de paquete. La aplicación podría mostrar cualquier título que quería durante la instalación, es decir. "Nueva Flappy pájaro", pero una vez instalado se puede sustituir cualquier aplicación, excepto por defecto preinstalado los de Apple. Esto significa que podría reemplazar sus aplicaciones bancarias o su aplicación de correo electrónico, el robo de información personal.
FireEye dice que verifican esta vulnerabilidad en iOS 7.1.1, 7.1.2, 8.0, 8.1 y 8.1.1 beta, tanto para dispositivos con jailbreak y no con jailbreak. El ataque funciona a través de redes inalámbricas y USB y ha sido llamado "Ataque Masque."
La compañía dice que notificará de Apple de la vulnerabilidad, el 26 de julio. Desde entonces la amenaza WireLurker ha utilizado una forma limitada de ataques Masque para atacar dispositivos iOS a través de USB.
Ataques Masque pueden plantear amenazas mucho más grandes que WireLurker. Ataques Masque pueden reemplazar aplicaciones auténticas, como la banca y correo electrónico aplicaciones, usando el malware de atacante a través de Internet. Eso significa que el atacante puede robar credenciales bancarias de los usuarios mediante la sustitución de una aplicación de banca auténtico con un malware que tiene la interfaz de usuario idéntica. Sorprendentemente, el malware aún puede acceder a los datos locales de la aplicación original, que no fue eliminado cuando se sustituyó la aplicación original. Estos datos pueden contener mensajes de correo electrónico almacenados en caché, o incluso iniciar sesión-tokens que el malware puede utilizar para iniciar sesión en la cuenta del usuario directamente.
FireEye ha presentado detalles sobre la falla de seguridad porque "consideramos que es urgente que permita que el conocimiento público, ya que podría haber ataques existentes que no han sido encontrados por los proveedores de seguridad."
Ataque Masque tiene consecuencias graves de seguridad:
● Los atacantes podrían imitar la interfaz de inicio de sesión de la aplicación original para robar credenciales de acceso de la víctima. Hemos confirmado a través de múltiples aplicaciones de correo electrónico y bancarias, donde el malware utiliza una interfaz de usuario idéntica a la aplicación original para engañar al usuario para introducir las credenciales de inicio de sesión de bienes y subirlos a un servidor remoto.
● También se encontró que los datos en el directorio de la aplicación original, como cachés de datos locales, se mantuvieron en el directorio local de malware después fue reemplazado la aplicación inicial. El malware puede robar estos datos sensibles. Hemos confirmado este ataque con aplicaciones de correo electrónico en el que el malware puede robar cachés locales de correos electrónicos importantes y subirlos al servidor remoto.
● El interfaz de MDM no podía distinguir el malware de la aplicación original, debido a que utilizan el mismo identificador de paquete. Actualmente no hay ninguna API MDM para obtener la información del certificado para cada aplicación. Por lo tanto, es difícil para MDM para detectar tales ataques.
● Como se mencionó en nuestra Virus Bulletin 2014 papel "Apple sin una concha - iOS bajo ataque dirigido", aplicaciones distribuidas utilizando perfiles de aprovisionamiento de la empresa (que llamamos "apps EnPublic") no están sometidos a proceso de revisión de Apple. Por lo tanto, el atacante puede aprovechar iOS APIs privadas para los ataques de gran alcance, tales como el monitoreo de fondo (CVE-2014-1276) y la interfaz de usuario imitador de iCloud de Apple para robar el ID del usuario y la contraseña.
● El atacante también puede utilizar ataques Masque para eludir la aplicación de caja de arena normal y luego obtener privilegios de root mediante el ataque conocidas vulnerabilidades de iOS, tales como los utilizados por el equipo de Pangu.
No hay comentarios:
Publicar un comentario