Ondrej Holzman Athugulir og kærulausir iOS notendur standa frammi fyrir frekari hættum. Aðeins viku eftir uppgötvunina WireLurker spilliforrit öryggisfyrirtækið FireEye hefur tilkynnt að það hafi uppgötvað annað öryggisgat í iPhone og iPad sem hægt er að ráðast á með því að nota tækni sem kallast „Masque Attack“. Það getur líkt eftir eða skipt út fyrir núverandi forrit í gegnum fölsuð forrit frá þriðja aðila og í kjölfarið fengið notendagögn.
Þeir sem hlaða niður forritum í iOS tæki eingöngu í gegnum App Store ættu ekki að óttast Masque Attack, því nýja spilliforritið virkar á þann hátt að notandinn hleður niður forriti utan opinberu hugbúnaðarverslunarinnar, sem svindlpóstur eða skilaboð eru til. (til dæmis inniheldur niðurhalstengil nýja útgáfu af hinum vinsæla leik Flappy Bird, sjá myndbandið hér að neðan).
Þegar notandinn hefur smellt á svikahlekkinn verður hann færður á vefsíðu þar sem hann er beðinn um að hlaða niður forriti sem lítur út eins og Flappy Bird, en er í raun falsuð útgáfa af Gmail sem setur upp upprunalega forritið sem er löglega hlaðið niður úr App Store. Forritið heldur áfram að haga sér á sama hátt, það hleður bara inn trójuhesti inn í sjálfan sig, sem fær allar persónulegar upplýsingar frá því. Árásin gæti ekki aðeins varðað Gmail heldur einnig til dæmis bankaforrit. Að auki getur þessi spilliforrit einnig fengið aðgang að upprunalegum staðbundnum gögnum forrita sem kann að hafa þegar verið eytt og fengið, til dæmis, að minnsta kosti vistuð innskráningarskilríki.
[youtube id=”76ogdpbBlsU” width=”620″ hæð=”360″]
Falsar útgáfur geta komið í stað upprunalegu appsins vegna þess að þær hafa sama einstaka auðkennisnúmer og Apple gefur öppum og það er mjög erfitt fyrir notendur að greina hvert frá öðru. Falda falsa útgáfan tekur síðan upp tölvupóstskeyti, SMS, símtöl og önnur gögn, vegna þess að iOS grípur ekki inn í forrit með eins auðkennisgögn.
Masque Attack getur ekki komið í stað sjálfgefna iOS forrita eins og Safari eða Mail, en það getur auðveldlega ráðist á flest forrit sem hlaðið er niður úr App Store og er hugsanlega meiri ógn en WireLurker uppgötvaði í síðustu viku. Apple brást fljótt við WireLurker og lokaði fyrirtækjaskírteinum sem forrit voru sett upp í gegnum, en Masque Attack notar einstök auðkennisnúmer til að síast inn í núverandi forrit.
Öryggisfyrirtækið FireEye komst að því að Masque Attack virkar á iOS 7.1.1, 7.1.2, 8.0, 8.1 og 8.1.1 beta og Apple er sagt hafa tilkynnt um vandamálið í lok júlí á þessu ári. Hins vegar geta notendur sjálfir varið sig gegn hugsanlegri hættu mjög auðveldlega - bara ekki setja upp nein forrit utan App Store og ekki opna grunsamlega hlekki í tölvupósti og textaskilaboðum. Apple hefur ekki enn tjáð sig um öryggisgalla.
Apple á vont ár. Sveigjanlegir símar, ómögulegt að hringja úr símanum, öryggisgöt eins og svín, hálfvirkt þráðlaust net í Yosemite (það er liturinn á hverri byggingu). Hvar eru dagarnir þegar Apple gerði hlutina rétt? Ég veit, það var fyrir dauða S. Jobs...
Hins vegar geta notendur sjálfir varið sig gegn hugsanlegri hættu mjög auðveldlega - bara ekki setja upp nein forrit utan App Store og ekki opna grunsamlega hlekki í tölvupósti og textaskilaboðum.
En þetta virkaði samt ekki, því ef þetta virkaði þá eru spilliforrit og vírusar einfaldlega ekki til í dag :)
Það virkaði ekki fyrir "óhlýðið fólk", sem Tékkland er fullt af, og þess vegna eru lögin og sérstaklega vegalögin bara grín hjá þeim, og að hlusta ekki á þessi tilmæli um óopinberan hugbúnað er líka leið til að eyðileggingu. Þannig að það hefði virkað ef ekki væri fyrir spillta hugarfarið ;)
Ég myndi ekki blanda vegalögum, því miður eru þau ekki skrifuð til að gera vegi okkar öruggari, heldur til að styðja við lögregluna í sveitarfélaginu og standa undir tekjum ef þær fara í sveitarsjóðinn :((((
En það er ekki umræðan hérna :)
Ég hef meiri áhuga á hugarfari fólks, sérstaklega frá Tékklandi. Ef þeir keyptu 1 öpp á 90 sent hvert í stað 4 pakka af sígarettum og sæktu þau ekki frá óopinberum aðilum og myndu ekki flótta iPhone símana sína, þá þyrftu þeir ekki að gráta yfir því að missa dýr tækin sín :)
Auðvitað var allur þráðurinn búinn til sem svar við vitleysuspádómnum: "síðan Jobs lést hefur allt gengið vel, og sérstaklega í ár"
Mér líkaði bara ekki samanburðurinn. Undanfarin 2 ár, þökk sé vinum mínum, þá festist ég í þessu umræðuefni og líkar ekki það sem er að gerast þar og það er stundum mjög ógeðslegt :(
Ég viðurkenni að svarið mitt sem sett var á spjallið gæti hafa reynst reiði, en það er ég, ég kem beint að efninu án nokkurra veseni og hef ekki tilhneigingu til að æsa mig, ég skrifa bara mína skoðun. Því miður, stundum er það jafnvel á því verði sem ég held að ég hafi skrifað skoðun mína skiljanlega, en fólk veit ekki hvað ég á við :(
Ég skildi líkinguna við hugarfar áður, en ég held að þessi nýja líking (um kassann, en ekki 4x forrit) sé miklu nákvæmari.
Bæta við störfum: Ég held að Apple sé að leita. Þó þeir hafi ekki leiðtoga eins og S.Jobs eru þeir ekki svo slæmir. Þeir hafa mikið af reyndu og greindu fólki sem mun geta fundið upp áhugaverða hluti en það tekur tíma. Persónulega held ég að það verði hægt að bera Apple í dag og Apple saman við S.Jobs allt að 10 árum eftir brottför hans, þangað til er það bara öskur, en það er bara mín skoðun...
Algerlega sammála ;)
Þeir voru með öryggisgöt fyrr og töluvert merkilegri en þetta... Til dæmis bættu þeir við ASLR laginu í OSX 10.5, en það var fullkomlega virkt aðeins í 10.7 (ef mér skjátlast ekki í útgáfunni), finndu yfirlýsinguna um öryggissérfræðingurinn Dino Dai Zovi. Hvað varðar nýlegar villur, finndu upplýsingar um Heartbleed, Shell Shock ...
Öryggisvillur, voru, eru og verða, sama hvort þú notar Linux, Windows, OSX, Chrome... Það er aðeins tímaspursmál hvenær OSX eða Linux verða útbreiddari og þessi kerfi verða meira aðlaðandi fyrir höfunda spilliforrita, þú bara kemst ekki hjá því og ef þú segir að kerfi sé "án villu" (eins og ég sagði einu sinni um Linux), þá ertu bara að ljúga upp í vasa...
Við the vegur, ef þú vilt vera hræddur, finndu upplýsingar um Black Hat öryggisráðstefnuna í ár og horfðu á fyrirlestrana um veikleika USB fastbúnaðar, það er líka sprengjuatriði :)
nafnlaus : Þetta er aftur kjaftæði, minnir mig á Sobotka. Ég mæli með því að skipta yfir á annan vettvang og losna við iOS og Mac OS þegar S.Jobs er horfið. Þá verður þú sáttur.
Og á flóttasta tækinu, setja þeir upp forrit annars staðar frá en AppStore?
Ég hefði líka áhuga á því. Vegna þess að ég hef aldrei séð í iOS mínum möguleika á að setja upp forrit öðruvísi en í gegnum AppStore. Þegar „Install“ birtist í því myndbandi sá ég það aldrei.
Já, þú þarft bara að hafa forritið undirritað með Enterprise vottorði, þá er hægt að setja það upp á þennan hátt.
Það virkar ekki án jailbreak. Eða sendu hlekkinn og ég mun reyna að setja upp forritið á iPhone minn án jailbreak á þennan hátt.
Lukas Palda hefur rétt fyrir sér. Það er hægt, en það eru fá tækniforrit eða þau eru svo óáhugaverð að þú veist ekki um þau, en það er mögulegt :)
Svo er bara að hlaða niður Storu og vandamálinu er lokið
Sæl öll... samkvæmt mér og greininni er nóg að fara eftir grunnreglunum eins og þegar notuð eru önnur tæki tengd netinu (óháð því hvort það er iOS, Android, WIN o.s.frv.) = ekki smella á viðhengi frá óþekktum sendendum, ekki bregðast við og spila reyndan "hakkara", ekki hlaða niður grunsamlegum skrám... Ég las svipaða grein á "slúður" novinky.cz og ef einhver vill skaða fyrirtæki, þá mun hann gera það Finndu leið...
Fyrir þá sem halda að það sé nóg að vera ekki með jailbreak og setja eingöngu upp úr AppStore:
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html
Úr málsgreininni: "iOS notendur geta verndað sig gegn Masque Attacks með því að fylgja þremur skrefum: ...".
Samantekt: eftir að hafa smellt á tengil í tölvupósti eða sms, gæti einnig birst þér svargluggi með valkostinum „Setja upp“ (eða Trust Developer). Það er í rauninni kjarni þessa vandamáls.
Þú gætir haldið að þú sért ekki að smella á hlekkina, heldur vinir þínir, fjölskylda o.s.frv. þeir þurfa ekki að hafa upplýsingatækniþekkingu eins og þú og því er ráðlegt að gefa þeim fyrirmæli um að smella ekki á "Install" og svo framvegis.
___
Ég tók við af root.cz