r   e   k   l   a   m   a
r   e   k   l   a   m   a

Jekyll Apps: zło może przeniknąć nawet do ogrodzonego ogrodu Apple

Strona główna AktualnościOPROGRAMOWANIE

Ekosystem oprogramowania dla urządzeń mobilnych Apple'a długo opierał się twórcom złośliwego oprogramowania. Restrykcyjna architektura iOS-a, pozwalająca na instalację jedynie podpisanych cyfrowo aplikacji z oficjalnego sklepu App Store, w połączeniu z surowym procesem recenzenckim Apple'a, dzięki któremu niezgodne z regułami firmy aplikacje nie miały szans na publikacje, były skuteczną ochroną przed software'owym złem. W tym czasie zło szalało na znacznie bardziej otwartym Androidzie – według raportu Trend Micro, pod koniec drugiego kwartału 2013 r. liczba szkodliwych aplikacji stworzonych z myślą o systemie Google'a wyniosła 718 tysięcy. Te złote dla Apple'a czasy zbliżają się jednak do końca.

Tielei Wang, Kangjie Lu, Long Lu, Simon Chung i Wenke Lee – badacze z Georgia Institute of Technology – przedstawili w opublikowanym w materiałach 22. sympozjum USENIX artykule pt. Jekyll on iOS: When Benign Apps Become Evil nową metodę ataku, która radzi sobie zarówno z wymogiem podpisywania kodu jak i procesem recenzenckim. Wprowadzają nową kategorię złośliwych aplikacji, nazwaną Jekyll Apps (w nawiązaniu do książki Niezwykły przypadek dr Jekylla i pana Hyde'a). Wyglądają one całkowicie niewinnie, jednak w ich kodzie ukryte są błędy, umożliwiające ich zdalne przejęcie. Napastnik może w ten sposób zdalnie „uzłośliwić” je, modyfikując działanie zaakceptowanego, podpisanego kodu.

To nie tylko teoria. Badacze udowodnili swoją koncepcję, tworząc aplikację, która przeszła proces recenzencki Apple'a i została opublikowana w App Store. Była to przeróbka opensource'owej aplikacji News:yc, uzupełniona o luki i mechanizmy łączenia z kontrolującym serwerem. Po zainstalowaniu aplikacji na kontrolnej grupie urządzeń z iOS-em, wykorzystano lukę do przekształcenia niewinnej dotąd aplikacji w trojana, który mimo tego, że uruchamiany był w izolowanym sandboksie systemu, zdołał uczynić wiele zła: potajemnie publikował wpisy na Twitterze, wysyłał SMS-y i e-maile, robił zdjęcia bez wiedzy użytkownika, atakował inne aplikacje, wykorzystywał przeglądarkę Safari do pobierania złośliwego kodu ze stron WWW, a nawet exploitował luki w jądrze. Aplikacja zdołała nawet wykorzystać niepubliczne API iOS-a do przejęcia zawartości całej książki adresowej użytkownika.

„Trojan” ten trafił do App Store w marcu 2013 roku. Long Lu podkreśla, że został zatwierdzony przez recenzentów Apple'a w ciągu kilku sekund, co sporo mówi o realiach recenzowania aplikacji w liczącym już milion pozycji App Store. Po publikacji i zainstalowaniu trojana na testowych urządzeniach, badacze sami usunęli go z App Store, aby uczynić zadość wymogom etycznego hakerstwa. Kangjie Lu podkreśla, że aplikacji nie pobrał żaden niewinny użytkownik, a głównym celem tej pracy było pokazanie, że statyczna analiza kodu, prowadzona przez Apple, nie jest w stanie przeniknąć dynamicznie generowanej logiki.

Apple zostało oczywiście poinformowane o nowej metodzie ataku. Rzecznik firmy Tom Neumayr wyjaśnił, że wskutek tego odkrycia w iOS-ie pojawiły się już pewne zmiany, mające zabezpieczyć przez „jekyllowymi” aplikacjami. Badacze wątpią jednak w te deklaracje. Ewentualne poprawki mogą co najwyżej ulepszyć polityki sandboksa używanego w iOS-ie, by ograniczyć to, co aplikacje mogą zrobić po zainstalowaniu, ale w wersji 6.1.3 systemu, wydanej w połowie marca, niczego takiego nie było.

Co gorsza jest całkiem możliwe, że takie zamaskowane złośliwe aplikacje do App Store trafiały już wcześniej, gdyż testerzy, uruchamiający je w wirtualnych maszynach, nie byli w stanie zauważyć podejrzanego zachowania, w tym wykorzystywania zakazanych, niepublicznych API systemu. Dlatego badacze sugerują, że iOS potrzebuje gruntownego przeprojektowania swoich zabezpieczeń, włącznie z wprowadzeniem mechanizmów takich jak Control-flow Integrity, precyzyjniejszej ochrony ASLR czy wymuszenia na programistach pisania aplikacji w językach o bezpiecznej typizacji.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.