0-day уязвимость в iOS используется хакерами с 2018 года. Патча пока нет

Один из пользователей reddit сообщил, что чужие сохранения и моды Cyberpunk 2077 открывают брешь для хакеров. При этом о дыре было известно до выхода хотфикса 1.11, однако CD Projekt RED не заметила уязвимость.

Вредоносные сайты взламывали iPhone более двух лет

Исследователи из группы GoogleProjectZero обнаружили несколько взломанных сайтов, которые не менее двух лет атаковали iPhone. Для этого злоумышленники использовали уязвимости устройств — в общей сложности 14 разных дырок. Семь из них — в Safari, штатном веб-браузере iOS, которым пользуется подавляющее большинство владельцев айфонов.

Еще две уязвимости позволяли зловреду покидать песочницу — изолированную среду, которая не дает одним приложениям что-либо делать с данными других приложений. А последние пять прописались в ядре iOS — центральном элементе операционной системы: его взлом дает неограниченные права, которых нет даже у владельца айфона.

Вредоносные сайты способны атаковать практически все актуальные версии мобильной системы Apple — от iOS 10 до iOS 12. По мере выхода обновлений злоумышленники меняли стратегию: отказывались от старых уязвимостей, иногда даже не дожидаясь появления патчей, и брали на вооружение новые.

Чем сайты заражали iPhone

Зараженные сайты устанавливали на устройства жертв шпионского зловреда. Эта программа получала неограниченные права и работала в фоновом режиме, так что пользователь не мог ее заметить. Зловред копировал и отправлял на командный сервер данные с устройства, причем делал это каждую минуту. Вот что интересовало его в первую очередь:

  • Пароли и токены авторизации, хранящиеся в Связке ключей iCloud. С их помощью злоумышленники могли пользоваться аккаунтами жертвы и воровать данные из них даже после того, как шпиона удаляли с устройства.
  • Переписка в мессенджерах iMessage, Hangouts, Telegram, Skype, Voxer, Viber и WhatsApp. Зловред крал информацию из баз данных приложений, где все сообщения хранятся в незашифрованном виде.
  • Переписка в почтовых приложениях Gmail, Yahoo, Outlook, QQmail и MailMaster. Эти данные шпион тоже получал из баз данных интересующих его программ.
  • История звонков и СМС.
  • Местонахождение устройства в реальном времени, если на нем включен GPS.
  • Список контактов жертвы.
  • Фотографии.
  • Заметки.
  • Голосовые напоминания из соответствующего приложения.

Кроме того, зловред по запросу с командного сервера мог отправить своим хозяевам список всех приложений на устройстве и данные любого из них. Причем всю добытую информацию он пересылал в виде простого текста. То есть, если зараженный айфон подключался к публичной сети Wi-Fi, увидеть отсылаемые зловредом пароли, переписку и прочие сведения о жертве могли не только взломщики, но и вообще кто угодно.

Отметим, что разработчики шпиона не особо заботились о том, чтобы тот закрепился в системе: после перезагрузки он исчезал со смартфона. Но учитывая, сколько информации он мог украсть сразу, это не очень большое утешение.

Опасность миновала… или нет?

Последние уязвимости, которые злоумышленники использовали в этой кампании, разработчики Apple исправили в iOS 12.1.4 в начале февраля, так что самые свежие версии системы от подобных атак защищены.

Тем не менее, по оценке специалистов, вредоносные сайты посещало несколько тысяч пользователей в неделю. Это значит, что, скорее всего, пострадавших от деятельности взломанных сайтов немало.

Кроме того, на смену обезвреженным веб-страницам могут прийти новые, эксплуатирующие неизвестные исследователям уязвимости.

Как не подхватить зловреда на iPhone

Как видите, подцепить заразу на смартфон Apple с вредоносного сайта действительно можно, да еще какую. Поэтому рекомендуем вам быть осмотрительными, даже если вы уверены, что уж вашему-то гаджету ничего не угрожает.

  • Обновляйте операционную систему айфона, как только обновление становится доступно. В актуальных версиях разработчики исправляют уязвимости, которыми могут воспользоваться (и, как видите, действительно пользуются) злоумышленники.
  • Не переходите по ссылкам из рекламы, электронных писем, сообщений от незнакомых людей и так далее. К результатам поиска тоже следует относиться критически: если у вас есть сомнения по поводу добросовестности того или иного ресурса, лучше его вообще не открывать.

Обезопасить iPhone могло бы защитное решение с технологией поведенческого анализа, способное заблокировать даже неизвестные ранее угрозы. Но, к сожалению, для iOS полноценных антивирусов не существует.

Итого: Правда или миф, что iPhone может заразиться при посещении опасного сайта?

Правда. Вредоносные сайты могут эксплуатировать уязвимости в браузере и iOS — и загружать на смартфоны всякую гадость. Описанные исследователями GoogleProjectZero ресурсы уже не опасны, но всегда могут появиться новые, о которых эксперты еще не знают.

Как изменения в iOS скажутся на интеграциях Apphud?

С релизом iOS 14 передача событий в системы атрибуции не пострадает: IDFA является необязательным параметром при отправке событий.

Сейчас Apphud получает атрибуцию от партнеров по атрибуции и сохраняет ее у себя. Это нужно, например, чтобы показывать графики выручки или MRR, разбитые по рекламным кампаниям. Осенью мы, как и прежде, продолжим получать данные от партнеров. В некоторых случаях это будут данные только от пользователей, разрешивших IDFA.

Рассмотрим нюансы каждой платформы по отдельности.

AppsFlyer

В AppsFlyer объявили, что будут поддерживать и SKAdNetwork, и вероятностную модель атрибуции. В дашборде AppsFlyer появится дополнительная вкладка SKAdNetwork Overview. Еще AppsFlyer добавит страницу настройки SKAdNetwork, где вы сможете выбрать, какие события и конверсии хотите отслеживать.

Страница настройки SKAdNetwork в AppsFlyer

Интеграция в Apphud будет работать без изменений. Мы по-прежнему будет передавать события в AppsFlyer в полном объеме, ведь для связи Apphud и AppsFlyer используется внутренний AppsFlyer ID, а не IDFA.

В AppsFlyer подтвердили, что получение атрибуции на уровне устройства не перестанет работать, хотя качество атрибуции может ухудшиться. В случае, если AppsFlyer удастся определить атрибуцию с помощью вероятностной модели, то AppsFlyer вернет эти данные в SDK.

Читайте также:  Как в iPhone загружать приложения: различные случаи

Adjust

Мы запросили информацию у Adjust, и они подтвердили, что будут продолжать работать в прежнем режиме. Вместо рекламного идентификатора они будут использовать комбинацию IDFV и вероятностной атрибуции. Apphud будет передавать данные в Adjust и получать от них в полном объеме. Для связи между Apphud и Adjust используется внутренний Adjust ID.

Branch

Как изменения в iOS скажутся на интеграциях Apphud?

В Branch, как и в Adjust, подтвердили, что будут продолжать работать в прежнем режиме. Вместо рекламного идентификатора они будут использовать комбинацию IDFV и вероятностной атрибуции. Apphud будет передавать данные в Branch в полном объеме.

Недавно мы обновили свою документацию. Рекомендуем добавить одну строчку для улучшения качества атрибуции с Branch:

// Initialize Apphud first, then Branch ().setIdentity(())

При отсутствии IDFA данные будут сопоставляться по IDFV либо внутреннему Branch ID.

Facebook

При отсутствии рекламного идентификатора Apphud использует FB Anonymous ID, по которому данные шлются в Facebook. Интеграция продолжит свою работу в прежнем режиме. В Facebook пока не заявляли о возможном снижении качества атрибуции.

Tenjin

Мы запросили информацию у Tenjin. Они подтвердили, что будут продолжать работать в прежнем режиме. Вместо рекламного идентификатора они будут использовать комбинацию IDFV и вероятностной атрибуции. Apphud будет передавать данные в Tenjin в полном объеме.

Отметим, что Tenjin не поддерживает Facebook в полном объеме: атрибуция работает только через отложенные ссылки. Не исключаем, что Facebook со временем может ввести какие-то ограничения на их использование.

Apple Search Ads

Пока нет ясности, как грядущие изменения повлияют на выдачу атрибуции на устройстве для Apple Search Ads. Скорее всего, Apphud будет получать данные лишь от тех пользователей, которые разрешили отслеживание рекламного идентификатора, а значит, большая часть данных, к сожалению, не попадет в Apphud.

Обновления принципиально важны

Еще одна особенность пользователей Android – это то, что они, как правило, зачастую не обновляют свои телефоны до последней версии операционной системы. Операционная система Android 9, которая также известна как Pie, выпущена в августе 2018; по состоянию на конец 2018 года, на нее перешло меньше 1% всех пользователей. Эта особенность делает пользователей Android значительно более уязвимыми. 

Вредоносные программы под Android заняли львиную долю всех мобильных угроз в 2018 г. Чтобы решить эту проблему, Google стал требовать от производителей смартфонов, чтобы те выпускали патчи к уязвимостям в течении 90 дней с момента их обнаружения. Чтобы защитить смартфоны Android от кибератак, важно регулярно скачивать на них обновления безопасности.

Заведите привычку при первой же возможности обновляться до последней версии ОС – так вы будете на шаг впереди хакеров. Это простое действие заблокирует доступ к вашему мобильному устройству для многочисленных семейств вредоносных программ, так что вы будете уверены в безопасности ваших данных.

Какие инструменты используют белые хакеры?

«Белые» хакеры работают по принципу «мысли как преступник» чтобы при поиске уязвимостей, пентесте и т.п. понимать логику злоумышленников. Поэтому и методы они используют те же, что и «чёрные» хакеры. С точки зрения используемых инструментов, также есть миграция, но здесь наоборот: от тёмной стороны к светлой. Дело в том, что «чёрным шляпам» невыгодно использовать «авторское» вредоносное ПО. Системам защиты его будет легче выявить по ряду признаков. Поэтому уже давно назрел тренд на использование «потенциально небезопасных» программ. Так их именуют антивирусные решения. В результате инструменты в руках у обоих категорий хакеров по сути двойного назначения. Ими могут пользоваться не только хакеры, но и «белые шляпы», поэтому антивирусные программы такое ПО не блокируют, а предупреждают о рисках. Журнал «Хакер» дает небольшой перечень такого ПО: ScanSSH, Intercepter-NG, NLBrute, UBrute, RDP Brute, sqlmap, Netsparker, SQLi Dumper, Router Scan, Private Keeper, Havij, Metasploit, Armitage, DUBrute, Lamescan, Fast RDP Brute, njRAT, Acunetix.

Читайте также:  Все нововведения в iOS 12.3

К примеру, Intercepter-NG был создан русским программистом, и писал он про него как про ПО для пентеста. Он не прячется, ведет свой блог, сайт т.е. действует в легальном поле. Но некоторые эксперты считают такой софт хакерским и не без основания, так как он действительно может использоваться для решения их задач.

Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»

Топ-12 инструментов для пентеста на Kali Linux и не только

Подбор необходимого инструментария для атаки зависит от целевой инфраструктуры и применяемых технологий. В дело идут как нестабильные скрипты для свежих уязвимостей, так и качественные инструменты для распространенных проблем безопасности. Среди множества инструментов я бы выделил несколько основных:

  • фреймворк Metasploit, включающий в себя порядка 3,5 тысяч модулей для эксплуатации различных уязвимостей;
  • веб-прокси Burp Suite, позволяющий перехватывать запросы к веб-сайтам и изменять их содержимое, что необходимо для проверки уязвимостей;
  • инструмент Hashcat, с помощью которого можно восстановить пароли путем перебора возможных значений, используя хешированные либо зашифрованные данные.

Владимир Ротанов, консультант Центра информационной безопасности компании «Инфосистемы Джет»

Для проведения аудита информационной безопасности или тестирования на проникновения существует множество различных инструментов, предназначенных для проверки защищённости различных типов ресурсов, таких как WiFi-сети, локальные сети, базы данных, операционные системы, веб-сайты и др. Существуют целые сборки такого программного обеспечения, которые и используются «белыми» и «чёрными» хакерами. Примерами могут служить дистрибутивы Kali LInux, BlackArch, Commando VM. Кроме стандартного набора утилит, входящих в состав таких дистрибутивов, это могут быть общедоступные утилиты с или иных ресурсов, а также самонаписанные скрипты, позволяющие автоматизировать какой-либо процесс, например, подбор паролей. Однако одного обладания набором утилит для полноценного тестирования мало, необходимо понимать принципы работы тестируемых систем.

Максим Симченко, руководитель направления особых исследований департамента информационной безопасности Московского кредитного банка

А вот какие результаты получили HackerOne в опросе 2019 года: