“Masque Attack” lỗ hổng bảo mật mới trên iOS nguy hiểm hơn cả WireLurker

0
276

masque-attack

Tuần trước, đã có báo cáo về việc Mac và iOS của người dùng ở Trung Quốc trở thành mục tiêu của một phần mềm độc hại có tên là WireLurker, kết quả là Apple xác nhận các vấn đề an ninh và ngăn chặn sự ảnh hưởng của các ứng dụng chứa phần mềm độc hại này. Vài ngày sau đó, công ty nghiên cứu bảo mật di động FireEye báo cáo đã phát hiện ra một lỗ hổng bảo mật iOS và tuyên bố rằng đó là mối đe dọa lớn hơn nhiều cho người dùng Apple hơn so với WireLurker.

Theo FireEye, “Masque Attack” là lỗ hổng bảo mật mới được phát hiện vào tháng Bảy, và vẫn đang tồn tại bởi vì iOS không bắt buộc các chứng chỉ phải phù hợp với các ứng dụng trên cùng một bộ nhận dạng. Như vậy, một kẻ tấn công có thể thu hút người dùng iPhone, iPad hoặc iPod cài đặt một ứng dụng với một cái tên giả như “New Flappy Bird” hoặc “Angry Bird Update”, trong khi người dùng không biết rằng thực sự đó là phần mềm độc hại. Chỉ có các ứng dụng được cài đặt sẵn như Mobile Safari hiện được cho là không bị ảnh hưởng.

“Masque Attack có thể thay thế các ứng dụng xác thực, chẳng hạn như ngân hàng và các ứng dụng email, sử dụng phần mềm độc hại để tấn công thông qua Internet”, FireEye tuyên bố. “Điều đó có nghĩa là những kẻ tấn công có thể ăn cắp thông tin ngân hàng của người dùng bằng cách thay thế một ứng dụng ngân hàng đích thực bằng một phần mềm độc hại có giao diện giống hệt nhau. Đáng ngạc nhiên, các phần mềm độc hại này thậm chí có thể truy cập vào dữ liệu gốc của ứng dụng ban đầu, những dữ liệu này hoàn toàn không bị mất đi khi chúng thay thế các ứng dụng ban đầu. Những dữ liệu này có thể chứa các email, thậm chí là thẻ đăng nhập và các phần mềm độc hại này có thể sử dụng để đăng nhập vào tài khoản của người dùng”.

FireEye tuyên bố rằng họ đã thông báo với Apple về lỗ hổng này, rằng việc này ảnh hưởng đến cả các thiết bị đã jailbreak và không jailbreak chạy iOS 7.1.1 đến iOS 8.1.1 beta, vào ngày 26 tháng 7. Công ty nghiên cứu bảo mật di động tuyên bố rằng Masque Attack có thể gây ra những những hậu quả an ninh nghiêm trọng, bao gồm khả năng kẻ tấn công có thể “bắt chước giao diện đăng nhập ứng dụng gốc để ăn cắp thông tin đăng nhập của nạn nhân” và “sử dụng Masque Attack để vượt qua sandbox của ứng dụng bình thường, và sau đó nhận được đặc quyền root iOS bằng cách tấn công vào các lỗ hổng, chẳng hạn như những người dùng ứng dụng Pangu”.

FireEye đưa ra một ví dụ về lỗ hổng bảo mật dựa trên tập hợp các ảnh chụp màn hình ở trên, cho thấy một bản sao chính hãng của ứng dụng Gmail (hình A và B) có thể được thay thế bằng một phiên bản độc hại (Hình D, E và F) bằng cách thu hút người dùng cài đặt một bản “New flappy Bird” cập nhật thông qua một cơ sở dữ liệu (Hình C). Nhằm chứng minh cho việc này, FireEye đặt câu “yes, you are pwned” ở trên cùng của ứng dụng Gmail độc hại (hình F) và chứng minh rằng chúng có thể tải lên tất cả các email được lưu trữ từ bộ nhớ nội bộ đến một máy chủ ở xa.

Cho đến khi có những sửa chữa nhằm giải quyết vi phạm bảo mật này, người dùng iOS được khuyến cáo rằng tránh cài đặt các ứng dụng bên ngoài App Store như một biện pháp phòng ngừa.

Theo GSM