WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Xuất hiện loại malware iOS mới đánh cắp Apple ID trên cả máy không jailbreak
AceDeceiver là một dạng malware mới có khả năng lây nhiễm cho người dùng mà không cần đến những chứng chỉ cài ứng dụng của doanh nghiệp, cũng không cần jailbreak.
Mã độc ẩn mình trong những ứng dụng wallpaper tưởng như vô hại trên kho dữ liệu của Apple. Có ít nhất 3 app như vậy và tính đến hiện tại Apple đều đã gỡ bỏ chúng. Một khi xâm nhập được vào máy của người dùng, AceDeceiver sẽ yêu cầu Apple ID để lấy cắp thông tin đăng nhập và mật khẩu. Hãng an ninh mạng Palo Alto Networks cho biết AceDeceiver hoạt động bằng cách lợi dụng lỗ hổng trong cơ chế bảo vệ bản quyền DRM của Apple (có tên FairPlay).
AceDeceiver là mã độc iOS đầu tiên lợi dụng các lỗi trong DRM để cài đặt ứng dụng độc hại trên thiết bị iOS mà không cần jailbreak. Kĩ thuật tấn công này có tên là "FairPlay Man-In-The-Middle (MITM)" và từng được sử dụng từ năm 2013 để phát tán các app iOS lậu.
Apple cho phép người dùng mua và tải ứng dụng iOS từ App Store thông qua iTunes trên máy tính. Trong quá trình cài, thiết bị iOS sẽ yêu cầu một mã xác thực cho mỗi app để chứng minh rằng app đó thật sự đã được mua bằng iTunes. Mã này thường được iTunes liên hệ với App Store để lấy về. Nhưng thay vì đi thẳng lên App Store, kĩ thuật MITM sẽ dùng một phần mềm trên máy tính để can thiệp vào quy trình xác thực này và lưu lại các mã hợp lệ. Sau đó, các mã này sẽ được dùng để đánh lừa thiết bị iOS tin rằng app đang được cài đặt đã được mua một cách bình thường, trong khi thực chất đó là app lậu.
Nhóm phát triển nên AceDeceiver cũng sử dụng kĩ thuật tương tự. Thay vì sử dụng phần mềm can thiệp iTunes bình thường, họ dùng một công cụ tên là Aisi Helper Windows. Tool này chạy trên Windows và giả mạo một công cụ giúp dọn dẹp và quản lý iPhone, tuy nhiên hacker đã thay đổi tool để âm thầm tải app có malware từ App Store, sau đó cài vào máy của người dùng. Không có bất kì thao tác xác nhận nào hiện lên màn hình nên người dùng sẽ không biết việc bị cài lén. Mã xác thực mà Aisi Helper Windows sử dụng đã được hacker lấy sẵn nhờ việc tải ứng dụng lên App Store và qua mặt cơ chế kiểm duyệt của Apple.
Palo Alto Networks cho biết, hiện tại AceDeceiver mới chỉ xuất hiện phổ biến tại Trung Quốc. Hãng cảnh báo kĩ thuật tương tự có thể được sử dụng để thực hiện các vụ tấn công trong tương lai và khuyến cáo người dùng không cài Aisi Helper Windows cũng như các app lậu. Qua vụ việc này cũng cho thấy đội ngũ review code của App Store chưa làm tốt công việc của mình và họ cần phải rà soát kĩ hơn nữa để dò ra những malware kiểu này.
Theo Tinh tế, Palo Alto Networks
Mã độc ẩn mình trong những ứng dụng wallpaper tưởng như vô hại trên kho dữ liệu của Apple. Có ít nhất 3 app như vậy và tính đến hiện tại Apple đều đã gỡ bỏ chúng. Một khi xâm nhập được vào máy của người dùng, AceDeceiver sẽ yêu cầu Apple ID để lấy cắp thông tin đăng nhập và mật khẩu. Hãng an ninh mạng Palo Alto Networks cho biết AceDeceiver hoạt động bằng cách lợi dụng lỗ hổng trong cơ chế bảo vệ bản quyền DRM của Apple (có tên FairPlay).
AceDeceiver là mã độc iOS đầu tiên lợi dụng các lỗi trong DRM để cài đặt ứng dụng độc hại trên thiết bị iOS mà không cần jailbreak. Kĩ thuật tấn công này có tên là "FairPlay Man-In-The-Middle (MITM)" và từng được sử dụng từ năm 2013 để phát tán các app iOS lậu.
Apple cho phép người dùng mua và tải ứng dụng iOS từ App Store thông qua iTunes trên máy tính. Trong quá trình cài, thiết bị iOS sẽ yêu cầu một mã xác thực cho mỗi app để chứng minh rằng app đó thật sự đã được mua bằng iTunes. Mã này thường được iTunes liên hệ với App Store để lấy về. Nhưng thay vì đi thẳng lên App Store, kĩ thuật MITM sẽ dùng một phần mềm trên máy tính để can thiệp vào quy trình xác thực này và lưu lại các mã hợp lệ. Sau đó, các mã này sẽ được dùng để đánh lừa thiết bị iOS tin rằng app đang được cài đặt đã được mua một cách bình thường, trong khi thực chất đó là app lậu.
Nhóm phát triển nên AceDeceiver cũng sử dụng kĩ thuật tương tự. Thay vì sử dụng phần mềm can thiệp iTunes bình thường, họ dùng một công cụ tên là Aisi Helper Windows. Tool này chạy trên Windows và giả mạo một công cụ giúp dọn dẹp và quản lý iPhone, tuy nhiên hacker đã thay đổi tool để âm thầm tải app có malware từ App Store, sau đó cài vào máy của người dùng. Không có bất kì thao tác xác nhận nào hiện lên màn hình nên người dùng sẽ không biết việc bị cài lén. Mã xác thực mà Aisi Helper Windows sử dụng đã được hacker lấy sẵn nhờ việc tải ứng dụng lên App Store và qua mặt cơ chế kiểm duyệt của Apple.
Palo Alto Networks cho biết, hiện tại AceDeceiver mới chỉ xuất hiện phổ biến tại Trung Quốc. Hãng cảnh báo kĩ thuật tương tự có thể được sử dụng để thực hiện các vụ tấn công trong tương lai và khuyến cáo người dùng không cài Aisi Helper Windows cũng như các app lậu. Qua vụ việc này cũng cho thấy đội ngũ review code của App Store chưa làm tốt công việc của mình và họ cần phải rà soát kĩ hơn nữa để dò ra những malware kiểu này.
Theo Tinh tế, Palo Alto Networks
Chỉnh sửa lần cuối bởi người điều hành: