Sikkerhetsproblem i iOS trustjacking lar hackere stjele iPhone-data, installere spionapper

Tips for å utvikle en sikker mobilapp Appsikkerhet er viktig. Her er noen tips for å sikre at den nye appen din er en bruker kan stole på.
Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • Trustjacking-angrepet utnytter en feil i implementeringen av Wi-Fi-enhetssynkronisering i iTunes ..
  • En oppdatering til iOS krever nå at brukerne setter inn pin-en før de stoler på en datamaskin, selv om forskerne hevder at dette ikke løser problemet tilstrekkelig.

På RSA-konferansen 2018 i San Francisco onsdag avslørte Symantec-forskerne Roy Iarchy og Adi Sharabani en ny type angrep som gir angripere tilgang til iPhones og iPads.

Sårbarheten, kalt trustjacking, krever at en bruker konfigurerer Wi-Fi-synkronisering i iTunes, som lar iOS-enhetseiere administrere enhetene sine uten å koble den fysisk til datamaskinen sin. Under normal drift lar dette brukerne få tilgang til bilder, legge til / fjerne apper, utføre sikkerhetskopier og andre administrative oppgaver, uten autorisasjon utover den opprinnelige tilkoblingsmeldingen som spør om tilkoblingsdatamaskinen er klarert.

Selv om dette første oppsettet krever tilkobling av en enhet ved hjelp av en USB-kabel, bemerker Iarchy at det ikke er gitt noen varsling til brukere om at det fremdeles kan få tilgang til enheter etter å ha koblet fra kabelen - ledeteksten som gis til brukerne sier bare: "Dine innstillinger og data vil være tilgjengelig fra denne datamaskinen når du er tilkoblet. " Videre er det ingen måte å avautorisere en datamaskin etter å ha gitt tilgang, bortsett fra å tilbakekalle tilgang til alle autoriserte datamaskiner.

Kontrollnivået som dette gir angripere er høyt, selv om det krever noen mellomliggende skritt, ifølge Iarchy. For å se enhetens skjerm, må angriperen installere utviklerbildet - som kan gjøres via Wi-Fi - slik at skjermbilder kan tas raskt, noe som gir nær sanntid tilgang til angriperens skjerm.

Ved å ha muligheten til å utføre sikkerhetskopier, gir det angripere muligheten til å se historisk informasjon, inkludert bilder, meldinger og appdata, sa forskere. Med utviklerbildet installert, er det mulig for angripere å erstatte apper med "en modifisert innpakket versjon som ser nøyaktig ut som den opprinnelige appen, men er i stand til å spionere på brukeren mens du bruker appen og til og med utnytte private APIer for å spionere på andre aktiviteter hele tiden, "ifølge rapporten. Iarchys demonstrasjon viser at en app byttes ut nesten umiddelbart, noe som gjør visuell deteksjon praktisk talt umulig.

Denne typen angrep er vanligvis begrenset til å fungere når både den ondsinnede kontrollerende datamaskinen og målenheten er på samme Wi-Fi-nettverk. Rapporten bemerket imidlertid at angrepet kan brukes i forbindelse med et ondsinnet profilangrep, slik at angripere kan koble begge enhetene til VPN-er, og dermed overstyre kravet til Wi-Fi-nettverk.

Pr. Standard har forskerne avslørt sårbarheten for Apple. Som svar har Apple lappet iOS for å kreve at brukerne oppgir enhetens PIN-kode når de kobles sammen med en datamaskin. Advarselen om "Dine innstillinger og data vil være tilgjengelig fra denne datamaskinen når du er tilkoblet" er imidlertid uendret, noe som ikke eksplisitt sier at tilkoblingen i det vesentlige er vedvarende.

Forskerne advarer om at dette tiltaket "ikke adresserer Trustjacking på en helhetlig måte", og legger til at "Når brukeren har valgt å stole på den kompromitterte datamaskinen, fortsetter resten av utnyttelsen som beskrevet ovenfor."

Forskerne anbefaler å aktivere krypterte sikkerhetskopier i iTunes, sammenkoblet med et sterkt passord, for å unngå at angripere kan lese privat informasjon.

Apple Weekly Newsletter

Enten du trenger tips om iPhone og Mac eller oversikt over bedriftsspesifikke Apple-nyheter, har vi deg dekket. Leveres tirsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com