На днях общественность была взбудоражена новостью о свирепом китайском вирусе WireLurker, который умудрялся заражать iPhone без джейлбрейка, предварительно напакостив в OS X. Особого вреда хулиганское ПО пока не нанесло, если не считать 400 тыс. зараженных Mac в Китае, хотя прецедент неприятный. Apple весьма оперативно прореагировала на угрозу, заблокировав запуск известных инфицированных приложений на компьютерах пользователей, но судя по реакции специалистов, компания пытается бороться лишь с последствиями, а не с причиной.
Напомню, что пока WireLurker бушует только в Китае, обосновавшись в местных аналогах App Store, через которые частенько распространяется пиратский софт. Одним из наиболее заметных и зараженных оказался Maiyadi App Store. Загрузив с него зловредное ПО, пользователь незаметно для себя инфицирует компьютер, после чего при подключении iPhone к USB вирус попадает на смартфон и начинает там творить непотребства. Если есть джейлбрейк, тогда зловред следит за финансовыми приложениями пользователя вроде AliPay. Если джейлбрека нет, WireLurker устанавливает фальшивое, но безопасное приложение-комикс, демонстрируя реальные возможности вируса в исполнении практически любого кода на якобы защищенном смартфоне.
Apple обновила сертификаты безопасности, которые использует WireLurker для своего внедрения, и таким образом заблокировала более 400 инфицированных приложений, помогавших в распространении вируса. Об этом заявил официальный представитель компании, добавив, что Apple рекомендует загружать и устанавливать приложения только из доверенных источников (читай из фирменного App Store).
В свою очередь специалист по безопасности Джонатан Здзиарски написал в Palo Alto Networks, что пока рано радоваться и настоящие проблемы еще не начинались:
Основная проблема не в самом WireLurker. В текущем состоянии вирус лишь в своем безобидном «младенческом» возрасте и по большей части состоит из набора скриптов, списков и двоичного кода, бездарно скрученных между собой «скотчем» и легко обнаруживаемых в системе. Реальную же опасность представляет собой механизм взаимодействия и сопряжения iOS-устройств и Mac, в рамках которого можно реализовать более изощренные варианты применения открытого китайцами метода…
WireLurker был явно написан дилетантами, но профессиональные хакеры и опытные взломщики могут взять этот метод на вооружение и легко создать значительно более эффективное и опасное ПО.
Джонатан Здзиарски, специалист по компьютерной безопасности
По словам Здзиарски, корень проблемы произрастает из тех больших возможностей, что есть у сопряженных Mac и iOS-гаджета. Как только вы соединили, допустим, MacBook и iPhone, согласившись с тем, что это доверенные устройства и кликнув в диалоговом окне «Да», вы фактически дали Mac полную свободу в том, что он может творить в iOS. Одно дело, когда зловредный код что-то пытается сделать в рамках довольно закрытой мобильной платформы и совсем другое, когда он бушует в значительно более мощной и открытой OS X.
Автоматического решения проблемы пока нет. Вы же знаете, что самый главный вирус — это сам пользователь, и никакой антивирус не спасает от человеческой глупости или незнания. Но некоторые действия Apple все же может предпринять.
В частности, Здзиарски рекомендует сделать предупреждения об установке неподписанного ПО более заметными. Сейчас лишь выскакивает маленькое диалоговое окно с мелким текстом, предупреждающим о том, что вы устанавливаете небезопасное приложение, которое не было проверено в Apple. Думаете кто-то его читает? Человек жмет «ОК», мол, ознакомлен, и запускает программу. А то и вовсе не читает, что же там написано и нажимает на все, что нажимается, лишь бы быстрее запустить ПО.
Второй важный момент — это отключение «Корпоративного режима» (Enterprise Mode) по умолчанию, ведь им пользуется очень маленькая часть людей, которые без проблем смогут активировать нужную опцию. Подавляющему большинству пользователей ни разу в жизни не потребуется устанавливать специализированное корпоративное ПО на свое устройство.
Третий шаг к повышению безопасности платформы — это запрос прав у пользователя на установку ПО на iOS-устройство, как это реализовано, например, при запросе приложений на доступ к контактам или же системе геолокации. По умолчанию такое право должно быть лишь у iTunes и Xcode, мимо которых зловред сам по себе не проползет.
Специалист предложил и ряд технически более сложных шагов, но те, что описаны выше, могут быть реализованы Apple быстро и без особого напряжения сил и ресурсов, при этом в разы повысить безопасность iOS и подготовиться к потенциальной атаке более профессиональных клонов WireLurker. [9To5Mac]
12 комментариев
Форум →Я вот одного не пойму, если после сопряжения Мак может творить с iOS сопряженноготустройства все что захочет, то почему мы всё так долго ждем джэйла?
Или таки имеет место быть очередное передергивание фактов?
И не верится в такое избирательное творчество хаккеров – если есть Джейл, то похищается все и вся, а если его нет, то они, такие Робин Гуды, решили только безобидный код-не код внедрить?
Так и хочется сказать: Шта!?
@kulachok5, а почему мы ждем джейла? Джейл для iOS 8-8.1 есть
А есть ли возможность для владельцев зараженных мака и айфона/айпада вылечить свои девайсы?
@burivuh, не от чего лечить.
@burivuh,
Исключительно восстановление !
Цитата
“WireLurker был явно написан дилетантами”
Ага совсем ламером ,что даже в apple проснулись ))) ахаха
все тактично умалчивают, а возможен ли этот сценарий заражения для более “дырявой” связки “винда+айфон”?
@jokervaio, Рассмотренный вирус писался под OS X, а на Windows все это по идее реализуется еще проще. Как минимум сам метод инфицирования универсален.
Приехали .. то ли ещё будет .. мдее ..
Странно, почему подобное не появилось раньше.
Ведь можно использовать утилиту для джейла, которая вместо или вместе с сидией поставит трояна и приложение, скрывающее наличие джейла. Завернуть утилиту так, чтобы она рабгтала невидимой под винду не сложно. Выдаст только перезагрузка телефона.
Гораздо опаснее, когда для джейла не требуется подключение к компьютеру. Тут достаточно зайти на сайт и опять же получить заразу. А теперь самое интересное – похоже что в 8 apple закрыли несколько дырок, которые могли использоваться для джейла через браузер. Так что обновляться всегда стоит.
@Entze,
Джейл через браузер прикрыли с времен 4.3.X
@vozz, прикрыли конкретные дыры. Не факт, что других нет или не появяться.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Прячем любые настройки macOS, чтобы их нельзя было изменить
Как работать с PDF-файлами на iPhone
Какой блок питания нужен для быстрой зарядки iPad
Что делать, если завис виджет приложения Музыка
Как откатиться с iOS 13 на iOS 12 без потери данных
Как на iPhone добавить иконки в статус-бар
Как отключить светлую тему macOS Mojave для некоторых приложений
Как откатиться с macOS Sequoia до macOS Sonoma