Օնդրեյ Հոլցման iOS-ի անուշադիր և անփույթ օգտագործողները բախվում են լրացուցիչ վտանգների։ Հայտնաբերումից ընդամենը մեկ շաբաթ անց WireLurker չարամիտ ծրագիր FireEye անվտանգության ընկերությունը հայտարարել է, որ iPhone-ներում և iPad-ներում հայտնաբերել է անվտանգության ևս մեկ անցք, որի վրա կարելի է հարձակվել «Դիմակային հարձակում» կոչվող տեխնիկայի միջոցով։ Այն կարող է ընդօրինակել կամ փոխարինել գոյություն ունեցող հավելվածները կեղծ երրորդ կողմի հավելվածների միջոցով և հետագայում ստանալ օգտվողի տվյալներ:
Նրանք, ովքեր հավելվածներ են ներբեռնում iOS սարքերում բացառապես App Store-ի միջոցով, չպետք է վախենան Masque Attack-ից, քանի որ նոր չարամիտ ծրագիրն աշխատում է այնպես, որ օգտատերը ներբեռնում է հավելվածը պաշտոնական ծրագրաշարի խանութից դուրս, որին հասցեագրված է կեղծ նամակ կամ հաղորդագրություն: (օրինակ, որը պարունակում է ներբեռնման հղում հանրահայտ Flappy Bird խաղի նոր տարբերակը, տես ստորև ներկայացված տեսանյութը):
Երբ օգտատերը սեղմի խարդախ հղումը, նա կտեղափոխվի վեբ էջ՝ խնդրելով ներբեռնել հավելված, որը նման է Flappy Bird-ին, բայց իրականում Gmail-ի կեղծ տարբերակն է, որը նորից տեղադրում է App Store-ից օրինական կերպով ներբեռնված բնօրինակ հավելվածը: Հավելվածը շարունակում է նույն կերպ վարվել, պարզապես իր մեջ ներբեռնում է տրոյական ձի, որն իրենից ստանում է բոլոր անձնական տվյալները։ Հարձակումը կարող է վերաբերել ոչ միայն Gmail-ին, այլեւ, օրինակ, բանկային հավելվածներին։ Բացի այդ, այս չարամիտ ծրագիրը կարող է նաև մուտք գործել հավելվածների բնօրինակ տեղական տվյալները, որոնք կարող են արդեն ջնջված լինել, և ստանալ, օրինակ, առնվազն պահպանված մուտքի հավատարմագրերը:
[youtube id=”76ogdpbBlsU” width=”620″ բարձրություն=”360″]
Կեղծ տարբերակները կարող են փոխարինել բնօրինակ հավելվածին, քանի որ դրանք ունեն նույն եզակի նույնականացման համարը, որը Apple-ը տալիս է հավելվածներին, և օգտվողների համար շատ դժվար է տարբերակել մեկը մյուսից: Թաքնված կեղծ տարբերակը այնուհետև գրանցում է էլեկտրոնային փոստի հաղորդագրությունները, SMS-ները, հեռախոսազանգերը և այլ տվյալներ, քանի որ iOS-ը չի միջամտում նույնականացման տվյալներ ունեցող հավելվածներին:
Masque Attack-ը չի կարող փոխարինել կանխադրված iOS հավելվածներին, ինչպիսիք են Safari-ն կամ Mail-ը, սակայն այն հեշտությամբ կարող է հարձակվել App Store-ից ներբեռնված հավելվածների մեծ մասի վրա և պոտենցիալ ավելի մեծ վտանգ է, քան անցյալ շաբաթ հայտնաբերված WireLurker-ը: Apple-ն արագ արձագանքեց WireLurker-ին և արգելափակեց ընկերության վկայականները, որոնց միջոցով տեղադրվեցին հավելվածները, սակայն Masque Attack-ն օգտագործում է եզակի նույնականացման համարներ՝ առկա հավելվածներ ներթափանցելու համար:
Անվտանգության FireEye ընկերությունը պարզել է, որ Masque Attack-ն աշխատում է iOS 7.1.1, 7.1.2, 8.0, 8.1 և 8.1.1 բետա օպերացիոն համակարգերի վրա, և Apple-ը հայտնել է խնդրի մասին այս տարվա հուլիսի վերջին: Այնուամենայնիվ, օգտատերերն իրենք կարող են շատ հեշտությամբ պաշտպանվել պոտենցիալ վտանգից՝ պարզապես App Store-ից դուրս որևէ հավելված մի՛ տեղադրեք և մի՛ բացեք կասկածելի հղումներ էլ. նամակներում և տեքստային հաղորդագրություններում: Apple-ը դեռ չի մեկնաբանել անվտանգության թերությունը:
Apple-ը վատ տարի է ապրում. Ճկուն հեռախոսներ, հեռախոսից զանգելու անհնարինություն, խոզուկի պես անվտանգության անցքեր, կիսաֆունկցիոնալ wifi Yosemite-ում (այդպիսին է յուրաքանչյուր կառուցվածքի գույնը): Որտե՞ղ են այն օրերը, երբ Apple-ը ճիշտ էր անում: Գիտեմ, դա եղել է Ս. Ջոբսի մահից առաջ...
Այնուամենայնիվ, օգտատերերն իրենք կարող են շատ հեշտությամբ պաշտպանվել պոտենցիալ վտանգից՝ պարզապես App Store-ից դուրս որևէ հավելված մի՛ տեղադրեք և մի՛ բացեք կասկածելի հղումներ էլ. նամակներում և տեքստային հաղորդագրություններում:
Բայց սա դեռ չաշխատեց, քանի որ եթե աշխատեր, չարամիտ ծրագրերն ու վիրուսներն այսօր պարզապես գոյություն չունեն :)
Դա չստացվեց «անհնազանդ մարդկանց» մոտ, որոնցով լի է Չեխիան, և այդ պատճառով օրենքները և հատկապես ճանապարհային օրենքները նրանց համար պարզապես կատակ են, և ոչ պաշտոնական ծրագրային ապահովման մասին այս առաջարկությունը չլսելը նույնպես ճանապարհ է. ոչնչացում. Այնպես որ, դա կաշխատի, եթե չլիներ կոռումպացված մտածելակերպը;)
Ես չէի ներգրավի ճանապարհային օրենքներին, ցավոք, դրանք գրված են ոչ թե մեր ճանապարհներն ավելի անվտանգ դարձնելու համար, այլ մունիցիպալ ոստիկանությանը աջակցելու և եկամուտը ապահովելու համար, եթե այն գնում է քաղաքապետարանի գանձարան :((((
Բայց այստեղ քննարկումը դա չէ :)
Ինձ ավելի շատ հետաքրքրում է մարդկանց մտածելակերպը, հատկապես Չեխիայից։ Եթե 1 տուփ ծխախոտի փոխարեն գնեին 90 հավելված՝ յուրաքանչյուրը 4 ցենտով և չներբեռնեին ոչ պաշտոնական աղբյուրներից և չջեյլբրեյք արեին իրենց iPhone-ները, նրանք ստիպված չէին լինի լաց լինել իրենց թանկարժեք սարքերը կորցնելու համար :)
Իհարկե, այս ամբողջ շարանը ստեղծվել է ի պատասխան անհեթեթ մարգարեության՝ «Ջոբսի մահից ի վեր ամեն ինչ լավ է ընթանում, և հատկապես այս տարի»
Ինձ ուղղակի դուր չեկավ համեմատությունը։ Վերջին 2 տարում ընկերներիս շնորհիվ խճճվեցի այս թեմայի մեջ և ինձ դուր չի գալիս այն, ինչ կատարվում է այնտեղ և երբեմն իսկապես զզվելի է :(
Ես ընդունում եմ, որ ֆորումում տեղադրված իմ պատասխանը կարող է զայրացած թվալ, բայց դա ես եմ, առանց որևէ խորամանկության անմիջապես անցնում եմ կետին և հակված չեմ հուզվելու, ես պարզապես գրում եմ իմ կարծիքը: Ցավոք սրտի, երբեմն նույնիսկ այն գնով է, որ կարծում եմ, որ ես իմ կարծիքը հասկանալի եմ գրել, բայց մարդիկ չգիտեն, թե ինչ նկատի ունեմ :(
Ես նախկինում հասկացել էի մտածելակերպի անալոգիան, բայց կարծում եմ, որ այս նոր անալոգիան (տուփի մասին, բայց ոչ 4x հավելվածների մասին) շատ ավելի ճշգրիտ է:
Ավելացրեք աշխատատեղեր. Կարծում եմ, որ Apple-ը ներկայումս փնտրում է: Չնայած Ս.Ջոբսի պես ղեկավար չունեն, բայց այդքան էլ վատը չեն։ Նրանք ունեն շատ փորձառու և խելացի մարդիկ, ովքեր կկարողանան հետաքրքիր բաներ մտածել, բայց դա ժամանակ է պահանջում։ Անձամբ ես կարծում եմ, որ այսօր Apple-ը և Apple-ը S.Jobs-ի հետ հնարավոր կլինի համեմատել նրա հեռանալուց մինչև 10 տարի անց, մինչ այդ ընդամենը ճիչեր են, բայց դա ընդամենը իմ կարծիքն է...
Լիովին համաձայն եմ ;)
Անվտանգության անցքեր ունեին ավելի վաղ և սրանից բավականին նշանակալից... Օրինակ, OSX 10.5-ում ավելացրել էին ASLR շերտը, բայց այն ամբողջությամբ գործեց միայն 10.7-ում (եթե չեմ սխալվում տարբերակման մեջ), գտեք հայտարարությունը. անվտանգության փորձագետ Դինո Դայ Զովի. Ինչ վերաբերում է վերջին սխալներին, գտեք տեղեկատվություն Heartbleed-ի, Shell Shock-ի…
Անվտանգության սխալները եղել են, կան և կլինեն, անկախ նրանից՝ օգտվում եք Linux-ից, Windows-ից, OSX-ից, Chrome-ից... Միայն ժամանակի հարց է, երբ OSX-ը կամ Linux-ը ավելի լայն տարածում կստանա, և այս համակարգերն ավելի գրավիչ կդառնան չարամիտ ծրագրեր ստեղծողների համար, դուք պարզապես չես կարող խուսափել դրանից, և եթե ասում ես, որ համակարգը «առանց սխալների» է (ինչպես ես մի անգամ ասացի Linux-ի մասին), ապա պարզապես գրպանդ ստում ես...
Ի դեպ, եթե ուզում եք վախենալ, գտեք տեղեկատվություն այս տարվա Black Hat անվտանգության կոնֆերանսի մասին և դիտեք USB որոնվածի խոցելիության մասին դասախոսությունները, դա նույնպես ռումբ է :)
Անանուն. Դա նորից հիմարություն է, այն ինձ հիշեցնում է Սոբոտկային: Ես խորհուրդ եմ տալիս անցնել այլ հարթակի և ազատվել iOS-ից և Mac OS-ից, երբ S.Jobs-ը չկա: Այդ ժամանակ դուք գոհ կլինեք։
Իսկ ամենաջեյլբրոքված սարքի վրա հավելվածներ են տեղադրում AppStore-ից բացի այլ տեղից:
Ինձ դա նույնպես կհետաքրքրի։ Որովհետև ես երբեք չեմ տեսել իմ iOS-ում հավելված տեղադրելու հնարավորություն, բացի AppStore-ից: Երբ «Install»-ը հայտնվեց այդ տեսանյութում, ես այն երբեք չտեսա:
Այո, պարզապես անհրաժեշտ է, որ դիմումը ստորագրված լինի Enterprise վկայականով, այնուհետև այն կարող է տեղադրվել այս կերպ:
Այն չի աշխատում առանց jailbreak-ի: Կամ ուղարկեք հղումը, և ես կփորձեմ այս կերպ առանց jailbreak-ի հավելվածը տեղադրել իմ iPhone-ի վրա։
Լուկաս Պալդան իրավացի է. Հնարավոր է, բայց տեխնոլոգիական հավելվածները քիչ են կամ այնքան անհետաքրքիր են, որ չգիտես դրանց մասին, բայց հնարավոր է :)
Այսպիսով, պարզապես ներբեռնեք Storu-ն և խնդիրն ավարտված է
Ողջույն բոլորին... ըստ իմ ու հոդվածի բավական է պահպանել հիմնական կանոնները, ինչպես ցանցին միացված այլ սարքերից օգտվելիս (անկախ նրանից՝ iOS, Android, WIN և այլն) = մի սեղմեք կցորդներ անհայտ ուղարկողների կողմից, մի հնարքներ մի խաղացեք և խաղացեք փորձառու «հաքեր», մի ներբեռնեք կասկածելի ֆայլեր... նմանատիպ հոդված եմ կարդացել novinky.cz-ի «բամբասանքների» վրա և եթե ինչ-որ մեկը ցանկանա վնասել որևէ ընկերության, կկատարի. գտնել ճանապարհ...
Նրանց համար, ովքեր կարծում են, որ բավական է չունենալ Jailbreak և տեղադրել բացառապես AppStore-ից.
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html
«iOS-ի օգտատերերը կարող են պաշտպանվել իրենց դիմակների հարձակումներից՝ հետևելով երեք քայլի՝ ...» պարբերությունից:
Համառոտ. էլ. փոստի կամ sms-ի հղման վրա սեղմելուց հետո ձեզ կարող է հայտնվել նաև երկխոսության տուփ «Տեղադրել» (կամ Trust Developer) տարբերակով: Դա իրականում այս խնդրի էությունն է։
Դուք կարող եք մտածել, որ դուք չեք սեղմում հղումների վրա, այլ ձեր ընկերները, ընտանիքը և այլն: Պարտադիր չէ, որ նրանք ձեզ նման ՏՏ գիտելիքներ ունենան, և, հետևաբար, խորհուրդ է տրվում նրանց հրահանգել չկտտացնել «Տեղադրել» և այլն:
___
Ես վերցրել եմ root.cz-ից