Jekyll Apps: zło może przeniknąć nawet do ogrodzonego ogrodu Apple

Ekosystem oprogramowania dla urządzeń mobilnych Apple'a długoopierał się twórcom złośliwego oprogramowania. Restrykcyjnaarchitektura iOS-a, pozwalająca na instalację jedynie podpisanychcyfrowo aplikacji z oficjalnego sklepu App Store, w połączeniu zsurowym procesem recenzenckim Apple'a, dzięki któremu niezgodne zregułami firmy aplikacje nie miały szans na publikacje, byłyskuteczną ochroną przed software'owym złem. W tym czasie zło szalałona znacznie bardziej otwartym Androidzie – według raportuTrend Micro, pod koniec drugiego kwartału 2013 r. liczbaszkodliwych aplikacji stworzonych z myślą o systemie Google'awyniosła 718 tysięcy. Te złote dla Apple'a czasy zbliżają się jednakdo końca. Tielei Wang, Kangjie Lu, Long Lu, Simon Chung i Wenke Lee –badacze z Georgia Institute of Technology – przedstawili wopublikowanym w materiałach 22. sympozjum USENIX artykulept. Jekyll on iOS: When Benign Apps Become Evil nową metodęataku, która radzi sobie zarówno z wymogiem podpisywania kodu jak iprocesem recenzenckim. Wprowadzają nową kategorię złośliwychaplikacji, nazwaną Jekyll Apps (wnawiązaniu do książki Niezwykły przypadek dr Jekylla i panaHyde'a). Wyglądają onecałkowicie niewinnie, jednak w ich kodzie ukryte są błędy,umożliwiające ich zdalne przejęcie. Napastnik może w ten sposóbzdalnie „uzłośliwić” je, modyfikując działaniezaakceptowanego, podpisanego kodu.[img=iphone]To nie tylko teoria. Badaczeudowodnili swoją koncepcję, tworząc aplikację, która przeszła procesrecenzencki Apple'a i została opublikowana w App Store. Była toprzeróbka opensource'owej aplikacji News:yc, uzupełniona o luki imechanizmy łączenia z kontrolującym serwerem. Po zainstalowaniuaplikacji na kontrolnej grupie urządzeń z iOS-em, wykorzystano lukędo przekształcenia niewinnej dotąd aplikacji w trojana, który mimotego, że uruchamiany był w izolowanym sandboksie systemu, zdołałuczynić wiele zła: potajemnie publikował wpisy na Twitterze, wysyłałSMS-y i e-maile, robił zdjęcia bez wiedzy użytkownika, atakował inneaplikacje, wykorzystywał przeglądarkę Safari do pobierania złośliwegokodu ze stron WWW, a nawet exploitował luki w jądrze. Aplikacjazdołała nawet wykorzystać niepubliczne API iOS-a do przejęciazawartości całej książki adresowej użytkownika.„Trojan” ten trafił do App Store w marcu 2013 roku.Long Lu podkreśla, że został zatwierdzony przez recenzentów Apple'a wciągu kilku sekund, co sporo mówi o realiach recenzowania aplikacji wliczącym już milion pozycji App Store. Po publikacji i zainstalowaniutrojana na testowych urządzeniach, badacze sami usunęli go z AppStore, aby uczynić zadość wymogom etycznego hakerstwa. Kangjie Lupodkreśla, że aplikacji nie pobrał żaden niewinny użytkownik, agłównym celem tej pracy było pokazanie, że statyczna analiza kodu,prowadzona przez Apple, nie jest w stanie przeniknąć dynamiczniegenerowanej logiki.Apple zostało oczywiście poinformowane o nowej metodzie ataku.Rzecznik firmy Tom Neumayr wyjaśnił, że wskutek tego odkrycia wiOS-ie pojawiły się już pewne zmiany, mające zabezpieczyć przez„jekyllowymi” aplikacjami. Badacze wątpią jednak w tedeklaracje. Ewentualne poprawki mogą co najwyżej ulepszyć politykisandboksa używanego w iOS-ie, by ograniczyć to, co aplikacje mogązrobić po zainstalowaniu, ale w wersji 6.1.3systemu, wydanej w połowie marca, niczego takiego nie było.Co gorsza jest całkiem możliwe, że takie zamaskowane złośliweaplikacje do App Store trafiały już wcześniej, gdyż testerzy,uruchamiający je w wirtualnych maszynach, nie byli w stanie zauważyćpodejrzanego zachowania, w tym wykorzystywania zakazanych,niepublicznych API systemu. Dlatego badacze sugerują, że iOSpotrzebuje gruntownego przeprojektowania swoich zabezpieczeń,włącznie z wprowadzeniem mechanizmów takich jak Control-flowIntegrity, precyzyjniejszej ochrony ASLR czy wymuszenia naprogramistach pisania aplikacji w językach o bezpiecznej typizacji.