Apple заблокировала зараженные WireLurker приложения, но не сам вирус

Роман Юрьев avatar | 12
FavoriteLoading В закладки
Apple заблокировала зараженные WireLurker приложения, но не сам вирус
01-1-WireLurker-Apple-Answer

На днях общественность была взбудоражена новостью о свирепом китайском вирусе WireLurker, который умудрялся заражать iPhone без джейлбрейка, предварительно напакостив в OS X. Особого вреда хулиганское ПО пока не нанесло, если не считать 400 тыс. зараженных Mac в Китае, хотя прецедент неприятный. Apple весьма оперативно прореагировала на угрозу, заблокировав запуск известных инфицированных приложений на компьютерах пользователей, но судя по реакции специалистов, компания пытается бороться лишь с последствиями, а не с причиной.

Напомню, что пока WireLurker бушует только в Китае, обосновавшись в местных аналогах App Store, через которые частенько распространяется пиратский софт. Одним из наиболее заметных и зараженных оказался Maiyadi App Store. Загрузив с него зловредное ПО, пользователь незаметно для себя инфицирует компьютер, после чего при подключении iPhone к USB вирус попадает на смартфон и начинает там творить непотребства. Если есть джейлбрейк, тогда зловред следит за финансовыми приложениями пользователя вроде AliPay. Если джейлбрека нет, WireLurker устанавливает фальшивое, но безопасное приложение-комикс, демонстрируя реальные возможности вируса в исполнении практически любого кода на якобы защищенном смартфоне.

Apple обновила сертификаты безопасности, которые использует WireLurker для своего внедрения, и таким образом заблокировала более 400 инфицированных приложений, помогавших в распространении вируса. Об этом заявил официальный представитель компании, добавив, что Apple рекомендует загружать и устанавливать приложения только из доверенных источников (читай из фирменного App Store).

В свою очередь специалист по безопасности Джонатан Здзиарски написал в Palo Alto Networks, что пока рано радоваться и настоящие проблемы еще не начинались:

Основная проблема не в самом WireLurker. В текущем состоянии вирус лишь в своем безобидном «младенческом» возрасте и по большей части состоит из набора скриптов, списков и двоичного кода, бездарно скрученных между собой «скотчем» и легко обнаруживаемых в системе. Реальную же опасность представляет собой механизм взаимодействия и сопряжения iOS-устройств и Mac, в рамках которого можно реализовать более изощренные варианты применения открытого китайцами метода…

WireLurker был явно написан дилетантами, но профессиональные хакеры и опытные взломщики могут взять этот метод на вооружение и легко создать значительно более эффективное и опасное ПО.
Джонатан Здзиарски, специалист по компьютерной безопасности

По словам Здзиарски, корень проблемы произрастает из тех больших возможностей, что есть у сопряженных Mac и iOS-гаджета. Как только вы соединили, допустим, MacBook и iPhone, согласившись с тем, что это доверенные устройства и кликнув в диалоговом окне «Да», вы фактически дали Mac полную свободу в том, что он может творить в iOS. Одно дело, когда зловредный код что-то пытается сделать в рамках довольно закрытой мобильной платформы и совсем другое, когда он бушует в значительно более мощной и открытой OS X.

Автоматического решения проблемы пока нет. Вы же знаете, что самый главный вирус — это сам пользователь, и никакой антивирус не спасает от человеческой глупости или незнания. Но некоторые действия Apple все же может предпринять.

01-2-WireLurker-Apple-Answer

В частности, Здзиарски рекомендует сделать предупреждения об установке неподписанного ПО более заметными. Сейчас лишь выскакивает маленькое диалоговое окно с мелким текстом, предупреждающим о том, что вы устанавливаете небезопасное приложение, которое не было проверено в Apple. Думаете кто-то его читает? Человек жмет «ОК», мол, ознакомлен, и запускает программу. А то и вовсе не читает, что же там написано и нажимает на все, что нажимается, лишь бы быстрее запустить ПО.

Второй важный момент — это отключение «Корпоративного режима» (Enterprise Mode) по умолчанию, ведь им пользуется очень маленькая часть людей, которые без проблем смогут активировать нужную опцию. Подавляющему большинству пользователей ни разу в жизни не потребуется устанавливать специализированное корпоративное ПО на свое устройство.

Третий шаг к повышению безопасности платформы — это запрос прав у пользователя на установку ПО на iOS-устройство, как это реализовано, например, при запросе приложений на доступ к контактам или же системе геолокации. По умолчанию такое право должно быть лишь у iTunes и Xcode, мимо которых зловред сам по себе не проползет.

Специалист предложил и ряд технически более сложных шагов, но те, что описаны выше, могут быть реализованы Apple быстро и без особого напряжения сил и ресурсов, при этом в разы повысить безопасность iOS и подготовиться к потенциальной атаке более профессиональных клонов WireLurker. [9To5Mac]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
undefined
iPhones.ru
На днях общественность была взбудоражена новостью о свирепом китайском вирусе WireLurker, который умудрялся заражать iPhone без джейлбрейка, предварительно напакостив в OS X. Особого вреда хулиганское ПО пока не нанесло, если не считать 400 тыс. зараженных Mac в Китае, хотя прецедент неприятный. Apple весьма оперативно прореагировала на угрозу, заблокировав запуск известных инфицированных приложений на компьютерах пользователей,...
Прокомментировать

🙈 Комментарии 12

  1. kulachok5 avatar
    kulachok58 ноября 2014
    0

    Я вот одного не пойму, если после сопряжения Мак может творить с iOS сопряженноготустройства все что захочет, то почему мы всё так долго ждем джэйла?

    Или таки имеет место быть очередное передергивание фактов?
    И не верится в такое избирательное творчество хаккеров – если есть Джейл, то похищается все и вся, а если его нет, то они, такие Робин Гуды, решили только безобидный код-не код внедрить?

    Так и хочется сказать: Шта!?

    burivuh avatar
    burivuh8 ноября 2014
    0

    @kulachok5, а почему мы ждем джейла? Джейл для iOS 8-8.1 есть

  2. burivuh avatar
    burivuh8 ноября 2014
    0

    А есть ли возможность для владельцев зараженных мака и айфона/айпада вылечить свои девайсы?

    Smolny avatar
    Smolny8 ноября 2014
    0

    @burivuh, не от чего лечить.

    vozz avatar
    vozz8 ноября 2014
    0

    @burivuh,
    Исключительно восстановление !

  3. vozz avatar
    vozz8 ноября 2014
    0

    Цитата

    “WireLurker был явно написан дилетантами”

    Ага совсем ламером ,что даже в apple проснулись ))) ахаха

  4. jokervaio avatar
    jokervaio8 ноября 2014
    0

    все тактично умалчивают, а возможен ли этот сценарий заражения для более “дырявой” связки “винда+айфон”?

    Роман Юрьев avatar
    Роман Юрьев8 ноября 2014
    0

    @jokervaio, Рассмотренный вирус писался под OS X, а на Windows все это по идее реализуется еще проще. Как минимум сам метод инфицирования универсален.

  5. Nick Nolt avatar
    Nick Nolt8 ноября 2014
    0

    Приехали .. то ли ещё будет .. мдее ..

  6. Entze avatar
    Entze8 ноября 2014
    0

    Странно, почему подобное не появилось раньше.
    Ведь можно использовать утилиту для джейла, которая вместо или вместе с сидией поставит трояна и приложение, скрывающее наличие джейла. Завернуть утилиту так, чтобы она рабгтала невидимой под винду не сложно. Выдаст только перезагрузка телефона.
    Гораздо опаснее, когда для джейла не требуется подключение к компьютеру. Тут достаточно зайти на сайт и опять же получить заразу. А теперь самое интересное – похоже что в 8 apple закрыли несколько дырок, которые могли использоваться для джейла через браузер. Так что обновляться всегда стоит.

    vozz avatar
    vozz9 ноября 2014
    0

    @Entze,
    Джейл через браузер прикрыли с времен 4.3.X

    Jaster avatar
    Jaster10 ноября 2014
    0

    @vozz, прикрыли конкретные дыры. Не факт, что других нет или не появяться.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь