Masque Angriff: All Your iOS Apps gehen zu uns
11.11.2014 09:13Masque Angriff: All Your iOS Apps gehen zu uns
Juli 2014 gekleidet, installiert mit enterprise / Ad-hoc-Provisioning könnte stattdessen mehr authentische App über den App-Sammlung installiert, zur gleichen Zeit wie zur gleichen Zeit verlängert FireEye Handy Sicherheitsforscher tragen mit dem Ziel einer iOS-App geöffnet da beide Apps verwendet das gleiche Bundle-Bezeichner. Diese Inhouse-App kann Parade ein beliebiger Titel (wie "New Flappy Bird") mit dem Ziel der Köder dem Benutzer, es zu installieren, aber die App kann stattdessen mehr authentische App in der Art der Installation verwenden. Alle Apps können außer für iOS vorinstallierten Apps, wie zur gleichen Zeit wie Handy Expedition ersetzt vorkommen. Diese Sicherheitsanfälligkeit wird als iOS nicht passenden Zertifikate zugunsten der Apps mit der gleichen Bündelkennungidentifier durchzusetzen. Wir überprüft diese Sicherheitsanfälligkeit auf iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 beta, zugunsten sowohl jailbroken und nicht-jailbroken Kampagne. Ein Feind kann diese Sicherheitsanfälligkeit sowohl durch drahtlose Netzwerke und USB ziehen. Wir nannten diesen Angriff "Masque Attack".
Wir tragen benachrichtigt Apples hinsichtlich dieser Sicherheitsanfälligkeit am 26. Juli Kürzlich Claud Xiao öffnen Sie die "WireLurker" Malware. In der Art der Suche in WireLurker, fanden wir mit dem Zweck sie im Gange, um eine schmale Form Masque Angriffe auf iOS-Kampagne über USB angreifen zu entwickeln. Masque Angriffe können sehr überlegen Bedrohungen als WireLurker posieren. Masque Angriffe können stattdessen authentische Apps, wie zur gleichen Zeit wie Banking und E-Mail-Apps nutzen, mit Angreifers Malware über das Internet. Mit dem Ziel der Methode der Feind kann Bankdaten viel Benutzers durch eine authentische Banking App ersetzt mit einer Malware mit dem Zweck hat identische Benutzeroberfläche. Überraschenderweise kann die Malware auch zugreifen indigenen Daten des primären App, die nicht, zu welchem Zeitpunkt die primäre App wurde ersetzt unnahbar war. Diese Daten können zwischengespeichert E-Mails enthalten, bevor auch login-Tokens, die der Malware Ausgaben absolut in Beziehung des Benutzers anmelden.
Wir tragen mit dem Zweck dieser Lieferung im Gange, um zu zirkulieren gesehen Proofs. An diesem Ort gekleidet, halten wir es für dringend notwendig, die offenen Know erlauben, da in Anwesenheit könnte bestehende Angriffe mit dem Ziel, nicht von Sicherheitsanbietern gefunden auftreten. Wir zzgl teilen Lockerungsmaßnahmen zu helfen, iOS Benutzer besser sparen vor Schaden selbst.
Sicherheit Auswirkungen
Durch die Nutzung Masque Angriff kann ein Feind zum Opfer zu locken, eine App mit einer nicht repräsentativen Nachnamen der Feind (wie "New Angry Bird") in Handarbeit gemacht zu installieren, und die iOS Koordination Geist Ausgaben es stattdessen ein berechtigtes App mit dem gleichen Bundle-Bezeichner verwenden . Masque Angriff nicht nutzen konnten, anstatt Apples eigene Plattform Apps wie zugleich als Handy-Expedition, aber es kann von App-Sammlung verwenden Sie stattdessen installierten Apps. Masque Angriff hat akute Sicherheitskosten :
Angreifer könnten die primären App-Login-Schnittstelle zu viel Zugangsdaten des Opfers zu imitieren. Wir tragen diese über mehrere E-Mail und Banking Apps fixiert, irgendwo die Malware nutzt eine UI identisch mit dem primären App, um den Benutzer zur Eingabe realen Anmeldeinformationen überlisten und laden Sie zu einer entfernten Begleiter.
Wir plus mit dem Zweck der Daten unter Verzeichnis des primären App, fand wie zugleich als indigene Datencaches, blieb in der Malware indigenen Verzeichnis in der Art des primären App gekleidet wurde ersetzt. Die Malware kann gut umgehen diese heiklen Daten. Wir tragen diesen Angriff mit E-Mail-Apps irgendwo die Malware kann viel indigenen Caches fokaler E-Mails und laden Sie sie auf Fernbegleiterinattendant fixiert.
Die MDM-Schnittstelle konnte die Malware nicht unterscheiden von der primären App, wie sie verwendet die gleiche Bundle-Bezeichner. Derzeit in Anwesenheit ist Veto MDM API zu Gunsten eines jeden App abholen das Zertifikat in der Reihe. Folglich ist es mühsam für MDM, um solche Angriffe zu erkennen.
Gleichzeitig, wie in unserer Virus Bulletin 2014 Buch genannten gekleidet "Apfel ohne eine Shell - iOS unter unter Brandbeanspruchung", Apps übersät mit Projekt Provisioning-Profile (was wir als "EnPublic Apps") sind nicht auf Prüfprozess Apples zogen . Daher ist der Feind kann iOS heimliche APIs für mächtige Attacken wie zugleich als Hintergrund-Überwachung (CVE-2014-1276) und Mimik iCloud UI zu viel des Benutzers Apple-ID und das Passwort zu ziehen.
Der Feind kann, sowie Ausgaben Masque Angriffe, um die Standard-App Sandbox zu umgehen und in diesem Moment abholen Grundlage Privilegien durch einen Angriff auf gemeinsamen iOS Schwachstellen, wie zur gleichen Zeit wie die, die durch die Pangu Team eingesetzt.
ein Paradigmen
In einzelnen unserer Experimente gekleidet, eine hauseigene App haben wir mit einem Bündel Kennung "com.Google.Gmail" mit einem Titel "New Flappy Bird". Wir unterzeichneten Diese App mit einem Projekt-Zertifikat. Zu welchem Zeitpunkt wir diese App von einer Website installiert, die primäre Gmail App auf dem Handy ersetzt es.
Denken 1 veranschaulicht diesen Prozess. Denken Sie 1 (a) (b) die authentische Gmail App auf dem Gerät mit 22 ungelesene E-Mails installiert bestätigen. Denken Sie 1 (c) zeigt mit dem Zweck des Opfers wurde angelockt, um eine in-house App namens "New Flappy Bird" von einer Website installieren. Bemerkung mit dem Zweck der "New Flappy Bird" ist der Titel für diese App und der Feind kann sie zu einer beliebigen üblichen beurteilen, zu welchem Zeitpunkt der Erstellung dieser App. Hat diese App jedoch ein Bündel Kennung "com.Google.Gmail".
In der Art und Weise des Opfers klickt auf "Installieren", denken 1 (d) zeigt das hauseigene App wurde die primäre Gmail App ersetzt in der Installation. Denken, 1 (e) zeigt, mit dem Ziel der primären Google Mail-Anwendung wurde durch das in-house app ersetzt. In der Art und Weise der Installation, zu welchem Zeitpunkt das Öffnen der innovative "Gmail" app, der Benutzer Geist auftreten konsequent eingeloggtes mit fast derselben Benutzeroberfläche außer zugunsten einer winzigen Textfeld auf der Oberseite Sprichwort: "Ja, Sie sind pwned" gekleidet die wir entwickelt, um ohne Zweifel veranschaulichen den Angriff. Der Angreifer wird wie Höflichkeit in Echt Erde Angriffe gekleidet nicht bestätigen. Inzwischen indigenen gecached E-Mails des primären authentischen Gmail App, die zur gleichen Zeit gespeichert wurden als Klartext in einer sqlite3 Rekord gekleidet zugleich als verschenkt in think 2 gekleidet, an eine entfernte Begleiter hochgeladen.
Bemerkung mit dem Zweck der Masque Angriff geschieht komplett über den drahtlosen Austausch von Ideen, nicht einschließlich die sich auf über das Gerät zu einem Supercomputer.
mitigations
IOS-Benutzer können von Schaden von Masque Angriffe retten sich durch folgende drei Schritte:
Vor der eigenen Organisation des Benutzers Apps aus anderen Drittquellen als Bürokrat App Sammlung Apples nicht installieren
Klicken Sie nicht auf "Installieren" auf einem Pop-up von einem Drittanbieter -Labyrinth Blech, zur gleichen Zeit als verschenkt in think 1 (c) gekleidet, Vetozählercount Verzeihung? Das Pop-up, sagt in Bezug auf die App. Das Pop-up kann auffälligen App Titel durch den Feind gestaltete bestätigen
Zu welchem Zeitpunkt die Eröffnung eines App, wenn iOS zeigt eine Warnmeldung mit "Nicht vertrauenswürdige App Entwicklers", zur gleichen Zeit wie verschenkt in think 3 gekleidet, klicken Sie auf "Do not Trust" und die App deinstallieren sofort
Um zu überprüfen, ob anwesend sind Apps bereits durch Masque Angriffe installiert ist, können iOS 7 Benutzer die Projekt Provisioning Profile auf ihre iOS-Kampagne installiert, die die Unterzeichnung Identitäten machbar Malware durch Masque Angriffe geliefert angeben, durch Kontrolle "Einstellungen überprüfen -> universal -> Profiles "zu Gunsten der" Vorlageprofile ". IOS 7 Benutzer können Artikel verdächtige Provisioning-Profile, um ihre Verantwortung für die Sicherheit. Löschen einer Provisioning-Profil Geist verhindern Projekt unterzeichnet Apps, die sich verlassen mit dem Ziel der Einschränkung Profil ausgeführt. Allerdings glaube iOS 8 Kampagne nicht bestätigen Vorlageprofile bereits über die Kampagne installiert und wir intim Einnahme besonders vorsichtig zu welchem Zeitpunkt Installieren von Apps.
Wir offenbarten diese Sicherheitsanfälligkeit zu Apple im Juli gekleidet. Da alle vorhandenen Standardschutzprotections bevor Schnittstellen von Apple kann einen solchen Angriff nicht verhindern, bitten wir von Apple, um weitere leistungsfähige Schnittstellen zu Expertensicherheitsanbietersecurity vendors bereitzustellen, um vor Schaden Projektnutzer aus diesen und anderen schwierigen Angriffen zu retten.
Wir danken FireEye Teammitglieder Noah Johnson und Andrew Osheroff zugunsten ihrer Hilfe bei der Herstellung der Präsentation Band gekleidet. Wir zzgl planen Kyrksen Storer und Lynn Thorne zugunsten ihrer Hilfe Zivilisierung dieses Blog bedanken. Besondere Verdienste um Zheng Bu zugunsten seines wertvollen Anmerkungen und Meinung.
Schlagwörter: IOS, App
Akku für Dell Alienware M17X R4
Article from : https://21054841.blog.hexun.com/
———
Zurück