Уразливість додатків Ios може дозволити зловмисникам захопити ваші програми

Під час нападу "Майн-в-середині" хтось перехоплює ваше з'єднання із захищеним сайтом, отримуючи все, надіслане будь-якою стороною та передаючи його, можливо, із шкідливими змінами. Але атака MITM закінчується при відключенні від мережі. Не так уже каже Yair Amit зі Skycure (хлопці, які зламали мій iPhone). Вони, очевидно, виявили вразливість, яка може назавжди змінити поведінку додатків в iOS.

Зустріньте HTTP Request Attack Attack

Skycure називає це HTTP Request Hijacking Attack і воно починається, зазначає Аміт, з атаки MITM. Під час підключення до шкідливої ​​мережі зловмисник стежить за вашим трафіком та шукає додатки, які отримують інформацію з серверів. Тоді зловмисник перехоплює цей запит і відсилає назад код додатка 301 HTTP. Це постійна помилка перенаправлення і повідомляє браузеру, що шуканий сервер був назавжди переміщений в інше місце.

Усі вразливі додатки, пояснив Аміт, кешуватимуть зміни, внесені кодом 301, і надалі підключатимуться до перенаправленого сервера в осяжному майбутньому. У нешкідливому сценарії це чудово підходить для користувачів, оскільки означає швидше та надійніше з'єднання. Але коли зловмисник надсилає свою помилку 301, він змушує програму почати завантажувати інформацію зі свого сервера.

Наслідки цікаві. Аміт зазначив, що у багатьох додатках для новин та акцій немає рядків URL, тому користувачеві не зрозуміло, звідки надходить інформація. Що стосується компрометованого додатку для новин, Еміт сказав: "тепер ти читаєш фальшиві новини від зловмисника".

Такий напад може бути витонченим, можливо, подаючи фальшиві історії або неточну інформацію про акції, щоб маніпулювати ринком. Або зловмисник міг би відображати всю інформацію з сервера новинної програми, але вводити шкідливі посилання для фішингу, або ще гірше.

Широко поширений, але невикористаний

Найстрашніше, що Аміт сказав мені, було не те, що може зробити напад, а наскільки воно було поширене. Оскільки це так просто, схоже, це впливає на тисячі додатків. Настільки багато, що Skycure говорить, що єдиним способом відповідально розкрити вразливість було описувати її публічно, не розкриваючи імен постраждалих додатків.

Хороша новина полягає в тому, що Еміт каже, що його команда не бачила цієї конкретної атаки в дикій природі. Зрозуміло, що розробники повинні швидко рухатися, щоб оновити свої додатки та вирішити проблему, перш ніж хтось почне їх використовувати. Будь-які розробники там повинні звернутися до Skycure для пропозицій щодо вдосконалення своїх додатків.

Безпека

Найкраще, що користувачі можуть зробити - це оновлювати свої додатки, оскільки розробники, ймовірно, почнуть впроваджувати виправлення вразливих програм. Якщо ви думаєте, що вас вже вразила ця конкретна атака, вам слід видалити підозрювану програму, а потім перевстановити її з App Store.

Уникнути цього нападу в майбутньому простіше теоретично, ніж на практиці. "Завжди безпечніше не підключатися до мереж WiFi, але в кінці дня ми це завжди робимо", - сказав Аміт. Іноді це навіть не питання зручності, оскільки телефони можуть підключатися до мереж Wi-Fi без дій користувача. Аміт пояснив, сказавши, що клієнти AT&T автоматично підключаються до мереж AT&T. Він також зазначив, що якщо зловмисник використовував шкідливі профілі, як це робив Skycure, коли вони зламали мій iPhone, навіть SSL-з'єднання не могло зупинити атаку.

За словами Skycure, розробник розробляє свої додатки, щоб уникнути проблеми в першу чергу. І, сподіваємось, незабаром, оскільки інформація про вразливість тепер доступна.