Propaganda

O iOS é amplamente considerado um dos sistemas operacionais móveis mais seguros. Ele foi projetado desde o início para ser seguro e, consequentemente, evitou muitas das ameaças à segurança que afetaram o Android.

Os poucos ameaças que existem para a plataforma Segurança em smartphones: os iPhones podem obter malware?O malware que afeta "milhares" de iPhones pode roubar credenciais da App Store, mas a maioria dos usuários do iOS é perfeitamente segura - então qual é o problema do iOS e de softwares invasores? consulte Mais informação tendem a ser centralizados em dispositivos jailbroken 4 razões de segurança convincentes para não fazer jailbreak no seu iPhone ou iPadO jailbreak pode se livrar das muitas restrições da Apple, mas antes de fazer o jailbreak do seu dispositivo, é uma boa idéia avaliar os benefícios e as possíveis desvantagens. consulte Mais informação ou outros que foram comprometidos ou exploram certificados corporativos roubados.

Mas AceDeceiver é diferente. Foi descoberto por

Palo Alto Networks no início desta semana, e é capaz de infectar iPhones configurados de fábrica sem que o usuário perceba, explorando falhas fundamentais no sistema FairPlay DRM da Apple.

Da pirataria ao malware

A maneira como o AceDeceiver é distribuído é baseada em algo chamado "FairPlay Man-In-the-Middle", que é um tática comum usada desde 2013 para instalar aplicativos pirateados em iPhones sem jailbreak e iPads.

Quando uma pessoa compra um aplicativo do iPhone em um computador, o aplicativo pode ser enviado imediatamente para o telefone. Mas entre a compra feita e o aplicativo entregue, há muita comunicação acontecendo entre os dispositivos e os servidores da Apple.

Em particular, a Apple enviará um código de autorização ao dispositivo iOS, que afirma essencialmente ao dispositivo cliente que o aplicativo foi comprado legitimamente. Se alguém capturar um desses códigos de autorização e imitar como os servidores da Apple interagem com dispositivos iOS, poderá enviar aplicativos para esse dispositivo.

AceDeceiverWorkflow

Esses aplicativos podem ser aplicativos que não foi permitido pela Apple aparecer na App Store 8 Diretrizes ridículas e inconsistentes da Apple App Store [Opinião]Aqui está uma opinião radical: você poderá executar os aplicativos que desejar nos dispositivos que possui. A Apple não concorda, e se transformou em pretzels, criando regras arbitrárias para qual aplicativo ... consulte Mais informação , ou podem ser aplicativos pirateados.

Nesse caso, os aplicativos distribuídos por esta nova versão do "Fairplay Man-in-the-Middle" são aplicativos de malware.

Conheça Aisi Helper

Para este ataque, o FairPlay Homem no meio O que é um ataque do tipo intermediário? Jargão de segurança explicadoSe você já ouviu falar de ataques "intermediários", mas não sabe ao certo o que isso significa, este é o artigo para você. consulte Mais informação O ataque é realizado pelo Aisi Helper, que é um aplicativo do Windows, que se acredita ter sido desenvolvido em Shenzhen, China.

Pelo seu valor nominal, ele pretende ser um terceiro legítimo iDevice produto de gerenciamento. Tem muitas das armadilhas de programas legítimos. Ele permite que os usuários executem o jailbreak e façam backup de dispositivos na rede local e reinstale o iOS, se necessário. É essencialmente o iTunes, embora sem o music player, e direcionado diretamente ao mercado chinês.

aisihelper

Segundo a ITJuzi, que analisa as startups no mercado chinês, foi lançada pela primeira vez em 2014. Naquela época, ele não continha nenhum comportamento malicioso. Desde então, foi extensivamente modificado para usar a estratégia mencionada acima, a fim de distribuir malware para qualquer dispositivo conectado.

Quando o Aisi Helper detecta um dispositivo conectado, ele automaticamente, e sem o consentimento do usuário, inicia a instalação do Trojan AppDeciever. A única dica de que isso está acontecendo é que um aplicativo misterioso e indesejado aparecerá na lista de aplicativos do usuário.

O malware AceDeceiver

No momento da redação deste artigo, havia três desses cavalos de Troia. Até agora, cada um deles se disfarçou como aplicativos de papel de parede. Cada um deles foi disponibilizado na App Store, depois de passar pelas notórias verificações estritas do código-fonte da Apple, onde é revisado após o envio e a cada atualização subsequente. Em teoria, isso deveria tê-los impedido de aparecer na App Store.

AceDeceiverWallpaper

A Palo Alto Networks acredita que os desenvolvedores puderam contornar essas verificações enviando-as para fora de China, e inicialmente disponibilizando-os para apenas alguns mercados, como Reino Unido e Nova Zelândia.

Essa variante específica do malware AceDeciever permanece inativa, a menos que o dispositivo tenha um endereço IP na República Popular da China. É claro, devido a isso, e ao meio de entrega, que é voltado para usuários chineses. Embora isso também possa afetar qualquer pessoa que use uma VPN chinesa ou alguém que esteja viajando pela China.

Quando o malware detecta que o dispositivo está na China, ele deixa de ser apenas um aplicativo para faça o download e altere os wallpwapers, para um que se disfarce de vários serviços da Apple, como a App Store, e Centro de jogos.

AceDeceiver

O objetivo disso é, previsivelmente, coletar credenciais da Apple. Isso permitiria ao invasor comprar aplicativos e e-books que eles colocaram na App Store e, por sua vez, obter um lucro saudável. No entanto, o AppDeciever não pode simplesmente "acessar" essas credenciais, pois elas são armazenadas com segurança em um contêiner criptografado.

Então ele usa táticas de engenharia social O que é engenharia social? [MakeUseOf explica]Você pode instalar o firewall mais forte e mais caro do setor. Você pode educar os funcionários sobre os procedimentos básicos de segurança e a importância de escolher senhas fortes. Você pode até bloquear a sala do servidor - mas como ... consulte Mais informação em vez de. O AceDeceiver exibirá pop-ups que parecem ter vindo da Apple, pedindo ao usuário para confirmar suas credenciais. Quando o usuário obedece, eles são enviados pela rede para um servidor remoto.

Esses aplicativos foram removidos da loja. Apesar disso, eles ainda podem ser instalados por um invasor, explorando o ataque FairPlay Man-in-the-Middle.

Você deve estar preocupado?

Então, vamos direto ao ponto. Você tem motivos para se preocupar com isso? Bem, sim e não.

No momento, a principal manifestação disso está centrada na China. Ele tem como alvo os iPhones chineses, está adormecido fora da China e usa táticas de engenharia social que são cuidadosamente criadas para ter sucesso contra usuários chineses.

Mas, apesar disso, há motivos de preocupação. Afinal, é baseado em uma tática usada desde 2013 para instalar software pirata. Três anos depois, esse buraco ainda está para ser fechado e é ainda finalmente explorável.

O fato de ter sido publicado com sucesso na App Store três vezes também levanta sérias questões sobre a capacidade da Apple de mantê-la livre de malware.

Loja de aplicativos

Além disso, como apontado pelo Palo Alto Labs, seria trivial refazer esse malware para atingir usuários nos EUA ou na Europa.

No momento, não há muito que possa ser feito para combatê-lo. A Palo Alto Networks recomenda qualquer pessoa que tenha instalado o Aisi Helper, desinstale-o imediatamente. Eles também dizem que as vítimas devem ativar a autenticação de dois fatores, bem como alterar suas senhas.

Eles também lançaram duas assinaturas IPS (Sistema de Prevenção de Intrusões) para empresas que usam seus dispositivos de firewall, a fim de bloquear o ataque. Infelizmente, eles não estão disponíveis para os consumidores.

Over To You

Você foi afetado pelo malware AceDeceiver? Conhece alguém que era? Conte-me sobre isso nos comentários abaixo.

Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café preto forte na mão e adora absolutamente o Macbook Pro e a câmera. Você pode ler o blog dele em http://www.matthewhughes.co.uk e siga-o no twitter em @matthewhughes.