Мемуары о будущем

Дмитрий Беляев

Уязвимость SideStepper: миллионы iPhone и iPad находятся под угрозой взлома

Опубликовано: 3 апреля 2016 года






Аналитики сообщили об обнаружении в iOS 9.2, под управлением которой работают iPhone и iPad, новой уязвимости, которая позволяет злоумышленникам получать доступ практически ко всем функциям и данным на устройстве. Под угрозой находятся миллионы пользователей, утверждают эксперты.

Новая уязвимость

Исследователи Check Point обнаружили уязвимость в iOS, позволяющую злоумышленникам устанавливать на iPhone или iPad любые вредоносные приложения.

Эти приложения могут: делать скриншоты, считывать нажатые на клавиатуре клавиши, включать камеру и передавать снятые фотографии на удаленный сервер, а также отправлять файлы, хранящиеся в памяти устройства.

Об этом компания рассказала на конференции по безопасности Black Hat в Сингапуре. Исследователи продемонстрировали работу «дыры» на примере iOS 9.2 – прошлой версии ОС iPhone и iPad.

Суть уязвимости

Уязвимость SideStepper (такое название ей дали в Check Point) позволяет злоумышленникам обойти механизм, предназначенный для защиты устройств от попадания вредоносных приложений при использовании корпоративных систем управления мобильными устройствами (Mobile Device Management — MDM).

При использовании системы MDM на устройстве необходимо подтвердить доверие к сертификату разработчика корпоративного приложения. Благодаря SideStepper злоумышленник может сымитировать команды MDM и «по воздуху» установить на iPhone или iPad вредоносные приложения, подписанные корпоративным сертификатом.

Способ проникновения в устройство

Для того чтобы воспользоваться уязвимостью, злоумышленник должен каким-либо образом заставить пользователя перейти по вредоносной веб-ссылке, которая может быть отправлена в электронном письме, мгновенном или SMS-сообщении. При прохождении по ссылке в операционную систему iOS устанавливается подготовленный хакером специальный конфигурационный профиль.

В iOS обнаружена очередная серьезная уязвимость

После установки профиля злоумышленник может имитировать команды системы MDM, используя атакующую технику под названием «человек посередине» (Man in the Middle — MitM), то есть путем вторжения в канал между устройством и MDM таким образом, что устройство думает, что оно связывается с подлинным сервером компании, а на самом деле — со злоумышленником.

Масштаб угрозы

Уязвимость присутствует на миллионах iPhone и iPad, которые широко применяются в корпоративной сфере. Аналитики в основном рекомендуют обращаться владельцам устройств к специалистам в компании, которые отвечают за ИТ-инфраструктуру и безопасность, и внимательнее относиться к запросам об установке на гаджет новых приложений.

«Дырявость» iOS

SideStepper – не первая уязвимость в операционной системе iOS, находящаяся в механизме установки корпоративных приложений.

В 2014 году исследователи Palo Alto Networks обнаружили вирус WireLurker, попадающий на устройство таким же образом.

Ранее в марте 2016 г. сообщалось об эпидемии на iOS-устройствах в Китае. Вредоносные приложения попадают на устройство при подключении к компьютеру через уязвимость в технологии управления цифровыми правами (Digital Rights Management — DRM), призванной бороться с распространением нелицензионного контента.

Источник: CNews

См. также:

0


1 звезда2 звезды3 звезды4 звезды5 звезд (Еще никто не голосовал)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: