Zlonamerna koda za iOS, ki okuži tudi nezlomljene naprave

Doslej so Applove naprave, ki jih nismo na silo odklenili (jailbreak), veljale za varne, saj je strog DRM preprečeval namestitev nepodpisanih aplikacij, kar je v navezi s temeljitim preverjanjem aplikacij pred vključitvijo v App Store poskrbelo za sorazmerno varen ekosistem. Sedaj pa se je pojavila zlonamerna aplikacija (malware), ki lahko okuži tudi neodklenjene naprave z iOS. AceDeceiver, ki so ga odkrili pri Palo Alto Networks, se za zdaj širi na Kitajskem.

Virusi so že v preteklosti uspeli pretentati zaščito, a so za to potrebovali ukradene certifikate. AceDeceiver je pomemben zato, ker ne potrebuje nobenega certifikata, temveč se širi prek ranljivosti v Applovem DRM-sistemu FairPlay. Tako imenovana taktika FairPlay Man-In-The-Middle je sicer poznana že od januarja 2013 in so jo predstavili na simpozijo USENIX avgusta 2014, to pot pa so jo prvikrat uporabili za širjenje malwara, medtem ko so jo prej za piratiziranje aplikacij.

Napad izkorišča dejstvo, da je mogoče aplikacije kupiti in sneti tudi na osebnem računalniku prek iTunesa, potem pa jih namestimo v mobilno napravo z iOS. Pri tem naprava vpraša za avtorizacijsko kodo, ki dokazuje, da je bila aplikacija resnično kupljena na iTunes. Pri tem napadu napadalci kupijo aplikacijo prek iTunes in si shranijo avtorizacijsko kodo. V lastnem programu za osebni računalnik potem simulirajo delovanje iTunes in mobilni napravi ponudijo shranjeno kodo in zlonamerno aplikacijo, zaradi česar jo iOS seveda sprejme in namesti. Na ta način je bilo mogoče doslej nameščati ukradene piratske aplikacije, logična razširitev pa je bila seveda še na področje zlonamerne programske opreme.

Med julijem 2015 in februarjem 2016 so zlikovci v App Store naložili tri aplikacije, ki so variante AceDeceiverja, da so uspeli dobiti avtorizacijske kode. Skozi pregled so jih vtihotapili tako, da so zlonamerno delovanje izvedle le, če so z geolokacijo ugotovile, da so na Kitajskem. Te kode je potem izkoriščal PC-jevski program Aisi Helper, ki se je predstavljal kot orodje za vzdrževanje iOS-a, v resnici pa je na mobilne naprave nameščal malware. Apple je zlonamerne aplikacije odstranil konec februarja po prijavi, a ranljivost ostaja aktivna do nadgradnje iOS-a, saj imajo napadalci še vedno delujoče kode.