aplikacje dla iOS w niebezpieczeństwie
19

Tysiące aplikacji dla iOS w niebezpieczeństwie. Wystarczył mały błąd

Drużyny tworzące tzw. "jailbreaki", czyli metody na odblokowanie niektórych obostrzeń systemu iOS nie tylko szukają dziur w samym systemie, ale również obserwują aplikacje na ten system pod kątem ich bezpieczeństwa. Pangu Team udało się zidentyfikować naprawdę poważną podatność, która w przypadku ok. 10 procent wszystkich programów dla iOS może spowodować wyciek danych użytkownika.

Wystarczy, że atakujący będzie korzystał z tej samej sieci WiFi co podatne urządzenie z iOS (wymogiem jest korzystanie z aplikacji, w której znajduje się błąd). Oprócz wyciągnięcia z telefonu lub tabletu danych, możliwe jest nadpisanie informacji lub nawet wywołanie złośliwego kodu – zdalnie. Pangu Team utrzymuje, że niebezpiecznych, noszących miano podatnych na atak aplikacji jest w całym sklepie około 10 procent: spośród 169 000 przetestowanych przez grupę programów znaleziono 16 000 takich, które spełniały wymagania co do ataku.

Pangu Team skonstruowało na ten temat stronę internetową oraz opublikowało materiały poglądowe na temat tego błędu. ZipperDown, bo tak ochrzczono podatność może być najbardziej przydatny wtedy, gdy wielu użytkowników w jednym miejscu korzysta z otwartej sieci WiFi. Na myśl jako pierwsze przychodzą nam lotniska, które bardzo chętnie udostępniają podróżnym darmowe, otwarte sieci (w których wystarczy jedynie podać byle jakiego maila) – tam już od dawien dawna się nie loguję z obawy o swoje dane.

Pangu Team na szczęście nie udostępniło szczegółów ataku ZipperDown na iOS. Wszystko z powodu obawy o bezpieczeństwo użytkowników

Błąd uznano za na tyle niebezpieczny, że Pangu Team postanowiło nie dzielić się szczegółami ze światem. Wiadomo jednak, że wszystko zostało spowodowane przez jeden, dosyć niewielki błąd programistyczny. O ile odkrywcy ZipperDown nie byli zbyt wylewni, ich koledzy z Chin postanowili podzielić się swoimi rewelacjami. Jak się okazuje, błąd występuje w aplikacjach które korzystają z narzędzia ZipArchive – implementowane w aplikacjach dla iOS po to, aby te mogły korzystać z plików ZIP. Błąd w tym dodatku pozwala na zaatakowanie już nie tyle narzędzia, co całego urządzenia i np. wywołanie na nim dowolnego kodu. Podsłuchiwanie ruchu, czy też przejmowanie ważnych informacji mogą być działaniami współtowarzyszącymi.

Wśród zagrożonych aplikacji są Dropbox, Pandora oraz Amazon

Pangu subtelnie zasugerowało, że wszystkie aplikacje, które w jakikolwiek sposób można nazwać menedżerami plików, bądź mają po prostu takie funkcje mogą być niebezpieczne. ZipArchive to niezwykle popularne wśród programistów iOS narzędzie, które pozwala na szybką i bezproblemową obsługę skompresowanych archiwów ZIP. Niestety, okazuje się, że błędy w tym dodatku rzutują na bezpieczeństwo całych publikowanych programów. I niestety, ale według najnowszych szacunków takich aplikacji może być około 10 procent w całym repozytorium. Warto wiedzieć o tym, że wszystkich programów w AppStore jest około 2 milionów…