Ledwie kilka dni temu Apple zareagowało na zagrożenie w postaci Wirelurkera, a już eksperci bezpieczeństwa z firmy FireEye informują właśnie o kolejnym, zdecydowanie bardziej poważnym. Mowa o luce w zabezpieczeniach iOS nazwanej Masque Attack.

W lipcu bieżącego roku eksperci z FireEye odkryli, że instalując aplikację z niewiadomego źródła (np. strony internetowej) przy wykorzystaniu korporacyjnego profilu dla iOS (który umożliwia instalowanie aplikacji spoza App Store, które nie przeszły weryfikacji Apple) możliwe jest podmienienie już zainstalowanego innego programu fałszywką zawierającą złośliwy kod. Wystarczy, by wspomniana instalowana aplikacja posiadała taki sam identyfikator paczki, jak ta, która ma zostać podmieniona. W ten sposób przestępcy mogą np. zastąpić oryginalny program pocztowy czy bankowy identycznie wyglądającą fałszywką. Co gorsza fałszywa aplikacja ma dostęp do danych pozostawionych przez tą oryginalną. Mogą być to wiadomości e-mail, ale także tzw. tokeny do przeprowadzania mobilnych płatności czy przelewów.

Luka występuje zarówno w iOS 7.1.1, 7.12, jak i iOS 8.0, 8.1 i becie iOS 8.1.1. Na atak podatne są wszystkie urządzenia. Można go przeprowadzić zarówno przy połączeniu bezprzewodowym, jak i "po kablu".

alt text

Proces ataku i podmiany oryginalnych aplikacji wymaga wejścia na stronę, na której znajduje się dystrybucja malware. Złośliwy kod może być ukryty np. w z pozoru przydatnej czy atrakcyjnej aplikacji, której nie znajdziemy w App Store. Co ważne użytkownik musi zaakceptować instalację takiego programu. W rezultacie program, którego oczekuje użytkownik, nie jest instalowany, następuje jednak podmiana innej, oryginalnej aplikacji na specjalnie spreparowaną fałszywkę.

Eksperci FireEye twierdzą, że poinformowali Apple o swoim odkryciu 26 lipca.

Źródło: 9To5Mac