Миллионы iphone и ipad находятся под угрозой взлома

Новая уязвимость

Исследователи Check Point нашли уязвимость в iOS, разрешающую преступникам устанавливать на iPhone либо iPad каждые вредоносные приложения. Эти приложения смогут: делать скриншоты, считывать надавленные на клавиатуре клавиши, включать камеру и передавать снятые фотографии на удаленный сервер, и отправлять файлы, хранящиеся в памяти устройства. Об этом компания поведала на конференции по безопасности Black Hat в Сингапуре.

Исследователи показали работу «дыры» на примере iOS 9.2 — прошедшей версии ОС iPhone и iPad.

Сущность уязвимости

Уязвимость SideStepper (такое наименование ей дали в Check Point) разрешает преступникам обойти механизм, предназначенный для защиты устройств от попадания вредоносных приложений при применении корпоративных совокупностей управления мобильными устройствами (Mobile Device Management — MDM).

При применении совокупности MDM на устройстве нужно подтвердить доверие к сертификату разработчика корпоративного приложения. Благодаря SideStepper преступник может сымитировать команды MDM и «по воздуху» установить на iPhone либо iPad вредоносные приложения, подписанные корпоративным сертификатом.

Метод проникновения в устройство

Чтобы воспользоваться уязвимостью, преступник обязан каким-либо образом вынудить пользователя перейти по вредоносной веб-ссылке, которая возможно послана в электронном письме, мгновенном либо SMS-сообщении. При прохождении по ссылке в ОС iOS устанавливается подготовленный хакером особый конфигурационный профиль.

Миллионы iphone и ipad находятся под угрозой взлома
В iOS найдена очередная важная уязвимость

По окончании установки профиля преступник может имитировать команды совокупности MDM, применяя атакующую технику называющиеся «человек посередине» (Man in the Middle — MitM), другими словами методом вторжения в канал между устройством и MDM так, что устройство считает, что оно связывается с настоящим сервером компании, а в действительности — со преступником.

Масштаб угрозы

Уязвимость присутствует на миллионах iPhone и iPad, каковые активно используются в корпоративной сфере. Аналитики по большей части советуют обращаться обладателям устройств к экспертам в компании, каковые несут ответственность за ИТ-безопасность и инфраструктуру, и внимательнее относиться к запросам об установке на гаджет новых приложений.

«Дырявость» iOS

SideStepper — не первая уязвимость в ОС iOS, находящаяся в механизме установки корпоративных приложений. В 2014 г. исследователи Palo Alto Networks нашли вирус WireLurker, попадающий на устройство таким же образом.

Ранее в марте 2016 г. сообщалось об эпидемии на iOS-устройствах в Китае. Вредоносные приложения попадают на устройство при подключении к компьютеру через уязвимость в технологии управления цифровыми правами (Digital Rights Management — DRM), призванной бороться с распространением нелицензионного контента.

Увлекательные записи:

КАК ВЗЛОМАТЬ ИГРЫ НА iOS 10?! БЕЗ JAILBREAK И ПК!


Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.