Masque Angriff: All Your iOS Apps fühlen zu uns
11.11.2014 09:21Masque Angriff: All Your iOS Apps fühlen zu uns
Voguish Juli 2014 umfassen FireEye Handy Sicherheitsexperten mit dem Ziel einer iOS App installiert mit enterprise / Ad-hoc-Provisioning könnte stattdessen mehr unverfälscht App über den App Hort installiert, zur gleichen Zeit wie zur gleichen Zeit wie langwierigen ausgesetzt beide Apps verwendet das gleiche Bundle-Bezeichner. Diese Inhouse-App kann zeigen eine willkürliche Titel (wie "New Flappy Bird") mit dem Ziel der Köder dem Benutzer, es zu installieren, aber die App können stattdessen mehr unverfälscht App bei der Installation. Alle Apps können dort außer für iOS vorinstallierten Apps, wie zur gleichen Zeit wie Handy Expedition ersetzt werden. Diese Sicherheitsanfälligkeit wird als iOS nicht passenden Zertifikate im Namen der Apps mit der gleichen Bündelkennungidentifier durchzusetzen. Wir überprüft diese Sicherheitsanfälligkeit auf iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 Beta im Namen sowohl jailbroken und nicht-jailbroken Kampagne. Ein Feind kann diese Sicherheitsanfälligkeit sowohl durch drahtlose Netzwerke und USB ziehen. Wir nannten diesen Angriff "Masque Attack".
Wir zählen Apple etwas mitteilen, wie diese Schwachstelle am 26. Juli Kürzlich Claud Xiao entlarvte die "WireLurker" Malware. Beim Blick in WireLurker, fanden wir mit dem Ziel, es geschieht, um eine schmale Form Masque Angriffe arbeiten, um iOS-Kampagne über USB angreifen. Masque Angriffe können sehr überlegen Bedrohungen als WireLurker posieren. Masque Angriffe können stattdessen authentische Apps, wie zur gleichen Zeit wie Banking und E-Mail-Apps nutzen, mit Angreifers Malware über das Internet. Mit dem Ziel der Kapital der Feind kann Bankdaten Benutzers klauen durch eine authentische Banking App ersetzt mit einer Malware mit dem Zweck hat identische Benutzeroberfläche. Überraschenderweise kann die Malware auch zugreifen indigenen Daten des ungewöhnlichen App, die nicht gleichgültig zu welcher Zeit die ungewöhnliche App wurde ersetzt war. Diese Daten können zwischengespeichert E-Mails enthalten, bevor auch login-Marken, die die Malware kann Manipulation in Geschichte des Benutzers offen einloggen.
Wir gehören zu sehen Beweise mit dem Zweck dieser Rück Ausgabe geschieht zirkulieren. Voguish diese Bedingung, halten wir es für dringend notwendig, die kommunalen Know erlauben, da in Anwesenheit könnte es bestehende Angriffe mit dem Ziel, nicht von Sicherheitsanbietern gefunden werden. Wir sind zzgl Sharing Bekämpfung Maßnahmen zur iOS Nutzer selbst besser zu schützen.
Sicherheit Auswirkungen
Durch die Nutzung Masque Angriff kann ein Feind zum Opfer zu locken, eine App mit einer nicht repräsentativen Berühmtheit durch den Feind (wie "New Angry Bird") in Handarbeit gemacht zu installieren, und das iOS um Geist Manipulations es stattdessen ein berechtigtes App mit dem gleichen Bundle-Bezeichner verwenden . Masque Angriff nicht nutzen konnten, anstatt Apples eigene Plattform Apps wie zugleich als Handy-Expedition, aber es kann aus dem App Hort verwenden Sie stattdessen installierten Apps. Masque Angriff hat schmucklos Sicherheitskosten :
Angreifer könnte der ungewöhnliche App Anmeldeoberfläche imitieren, um Anmeldedaten des Opfers klauen. Wir berücksichtigen dies durch mehrere E-Mail und Bank Apps fixiert, irgendwo die Malware nutzt eine UI identisch mit dem ungewöhnlichen App, um den Benutzer zur Eingabe realen Anmeldeinformationen überlisten und laden Sie zu einer entfernten Weinkellner.
Wir plus mit dem Zweck der Daten unter Verzeichnis des ungewöhnlichen App gefunden, wie zur gleichen Zeit als indigene Datencaches, blieb voguish die Malware indigenen Verzeichnis, wenn die ungewöhnliche App wurde ersetzt. Die Malware kann diese heikle Daten klauen. Wir sind das Fest diesen Angriff mit E-Mail-Apps irgendwo die Malware kann indigenen Caches der Linie E-Mails klauen und laden Sie sie auf entfernten Weinkellner.
Die MDM-Schnittstelle konnte die Malware nicht unterscheiden von der ungewöhnlichen App, wie sie verwendet die gleiche Bundle-Bezeichner. Zu dieser Zeit anwesend ist Veto MDM API, um das Zertifikat im Rang im Namen pro stück App folgen. Auf diese Weise ist es eine Herausforderung im Namen MDM, um solche Angriffe zu erkennen.
Gleichzeitig wie erwähnt voguish unserer Virus Bulletin 2014 Papier "von Apple fehlt eine Shell - iOS unter umkämpfte Angriff", Apps übersät mit Aktivität Provisioning-Profile (was wir als "EnPublic Apps") sind nicht zu Apples gehen durch unterzogen. Daher ist der Feind kann iOS heimliche APIs im Namen mächtige Attacken wie zugleich als Hintergrund-Überwachung (CVE-2014-1276) und Mimik iCloud UI auf des Benutzers Apple-ID und das Passwort klauen ziehen.
Der Feind kann zzgl Manipulation Masque Angriffe, um die natürliche App Sandbox zu umgehen und daher folgen gehen durch Privilegien durch Angriffe gefeierten iOS Schwachstellen, wie zur gleichen Zeit wie die, die durch die Pangu Team eingesetzt.
eine Illustration
Voguish einsamen unserer Versuche, eine hauseigene App haben wir mit einem Bündel Kennung "com.Google.Gmail" mit einem Titel "New Flappy Bird". Wir unterzeichneten dieses Produkt mit einer Tätigkeit Zertifikat. Welche wir dieses App von einer Website installiert, die ungewöhnliche Gmail App auf dem Handy ersetzt es.
Bezugszeichen 1 veranschaulicht diesen Prozess. Die Ziffer 1 (a) (b) Funk zeigen die unverfälschte Gmail App auf dem Gerät mit 22 ungelesene E-Mails installiert. Die Ziffer 1 (c) zeigt mit dem Zweck des Opfers wurde angelockt, um eine in-house App namens "New Flappy Bird" von einer Website installieren. Memorandum mit dem Zweck der "New Flappy Bird" ist der Titel der im Auftrag dieser App und der Feind kann sie auf eine beliebige helfen, was Zeit der Vorbereitung dieser App gerinnen. Hat diese App jedoch ein Bündel Kennung "com.Google.Gmail".
Wenn das Opfer klickt auf "Installieren", die Ziffer 1 (d) zeigt das hauseigene App wurde die ungewöhnliche Gmail App zu irgendeinem Zeitpunkt in der Anlage zu ersetzen. Bezugszeichen 1 (e) zeigt, mit dem Zweck, die ungewöhnliche Google Mail-Anwendung wurde durch das in-house app ersetzt. Wenn die Installation, was Zeit Öffnen des frisch "Google Mail" app, der Benutzer Geist dort mechanisch angemeldet voguish mit fast derselben Benutzeroberfläche außer im Namen einer unbedeutenden Textfeld neben der Spitze Sprichwort: "Ja, Sie pwned sind", die wir entworfen ohne Zweifel veranschaulichen den Angriff. Angreifer nicht Radiosendung wie Höflichkeit voguish realen Erde Attacken. Inzwischen hat die ungewöhnliche authentische Gmail App indigenen zwischengespeicherten E-Mails, die zur gleichen Zeit gespeichert wurden als Klartext voguish eine sqlite3 Liste gleichzeitig als publik voguish Zeichen 2, zu einem entfernten Weinkellner hochgeladen.
Memorandum mit dem Zweck der Masque Angriff geschieht komplett größer als der Wireless Association, fehlt unter Berufung auf mit der Vorrichtung an einem Supercomputer.
mitigations
IOS-Benutzer können sich von Masque Angriffen zu schützen, indem Sie in drei Schritten:
Vor der eigenen Organisation des Benutzers Apps aus anderen Drittquellen als Apples formalen App Hort nicht installieren
Klicken Sie nicht auf "Installieren" auf einem Pop-up von einem Drittanbieter -Mesh eine Nachricht, in der gleichen Zeit wie publik voguish Zeichen 1 (c), konnte Veto unterliegen Sie das wiederholen? Das Pop-up etwas sagt wie der App. Das Pop-up kann Radioshow gut aussehende App Titel durch den Feind in Handarbeit gemacht
Welche Zeit die Eröffnung eines App, wenn iOS zeigt eine Warnmeldung mit "Nicht vertrauenswürdige App Entwicklers", zur gleichen Zeit wie publik voguish Zeichen 3, klicken Sie auf "Do not Trust" und deinstallieren Sie die App die Minute
Um zu überprüfen, ob anwesend sind Apps bereits durch Masque Angriffe installiert ist, können iOS 7 Benutzer die Aktivität Provisioning Profile auf ihre iOS-Kampagne installiert, die die Unterzeichnung Identitäten der erreichbaren Malware durch Masque Angriffe geliefert zeigen lassen, indem das Durchlesen "Einstellungen -> universal -> Profile "im Auftrag von" Vorlageprofile ". IOS 7 Benutzer können tale verdächtige Provisioning-Profile, um ihre Sicherheitsbereich. Löschen einer Provisioning-Profil Geist verhindern Tätigkeit unterzeichnet Apps, die auf mit dem Ziel, spezielle Profil vom Laufen verlassen. , IOS 8 Kampagne zu tun jedoch nicht Radioshow Provisioning-Profile bereits über die Kampagne installiert und wir intim unter besonders warnen, was Zeit Installieren von Apps.
Wir offenbarten diese Sicherheitsanfälligkeit zu Apple voguish Juli. Da alle vorhandenen Standardschutzprotections bevor Schnittstellen von Apple kann einen solchen Angriff nicht verhindern, bitten wir von Apple, um weitere leistungsfähige Schnittstellen zu ausgebildeten Sicherheits Anbieter stellen, um die Aktivität Benutzer aus diesen und anderen höheren Angriffen zu schützen.
Wir danken FireEye Teammitglieder Noah Johnson und Andrew Osheroff im Namen ihrer Hilfe voguish Herstellung der Präsentationsfilm. Wir zzgl wünschen zu Kyrksen Storer und Lynn Thorne im Namen ihrer Hilfe Zivilisierung dieses Blog bedanken. Besondere Verdienste um Zheng Bu im Namen seiner wertvollen Erklärung und Reaktion.
Schlagwörter: IOS, App
Related : https://ameblo.jp/gooddenchi-3
———
Zurück