YiSpecter iOS kártékony kód


2015. október 6. 07:00

CH azonosító

CH-12667

Angol cím

YiSpecter iOS Malware

Felfedezés dátuma

2015.10.03.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Safari
iOS for iPad
iPhone OS (iOS)

Érintett verziók

Apple iOS, Apple Safari, Apple iPad

Összefoglaló

Nemrég azonosítottak egy új Apple iOS kártékony kódot, és elnevezték YiSpecter-nek. A YiSpecter eltér a korábban látott iOS kártékony kódoktól, mert megtámadja mind a feltört, (jailbreak) és mind a nem manipulált iOS eszközöket. Pontosabban, ez az első kártékony kód, amely visszaél saját egyéni API-kal, így kikerüli az Apple App Store szigorú felülvizsgálati szabályait. Elsődlegesen érintett területek, Kína és Tajvan.

Leírás

A Palo Alto Networks kutatói 100 alkalmazást találtak az Apple App Store-ban, amely visszaélt saját API-jaival és kiiktatja az Apple hírhedten szigorú felülvizsgálati szabályait.

Ebben az esetben, a támadók nem használják az Apple App Store-t a malware terjesztésére, hanem támaszkodnak a vállalati tanúsítványok mellékhatásaként a kártékony programok telepítésére.

A YiSpecter teljeskörű jogosultságokat kap a feltelepült iOS eszközökön. Így képes letölteni, telepíteni, és elindítani több iOS alkalmazást, a meglévő alkalmazásokat képes lecserélni, más alkalmazásokban reklámhirdetéseket jelenít meg, és kicseréli a Safari alapértelmezett keresőjét. Hamisítja a Safari könyvjelzőit és megnyitott oldalait, majd feltölti az eszközök adatait a támadók szerverre.

A kutatók kielemezték, hogy a XcodeGhost és a YiSpecter hatásai nem mutatnak némi technikai hasonlóságot, a támadások nem kapcsolódnak egymáshoz.

Megoldás

Az YiSpecter eltávolítását javasoljuk a következő lépésekben:

  • Belépés a következő menűpontokba:  Beállítások -> General -> Profiles, távolítsa el az összes ismeretlen vagy nem megbízható profilt;
  • Használjon olyan harmadik iOS eszközt (pl iFunBox, bár figyelembe, hogy az Apple iTunes nem működik ez a lépés) Windows vagy Mac OS X, csatlakozzanak a iPhone-hoz vagy iPad-hoz;
  • A menedzsment eszköz, ellenőrizze az összes telepített iOS alkalmazást; ha ott van néhány apps név, mint a telefon, Időjárás, Game Center, Passbook, Notes, vagy Cydia, törölje őket.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Privilege escalation (jogosultság kiterjesztés)
Redirecting traffic
Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor
execute code

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.heise.de
Egyéb referencia: www.zdnet.com
Egyéb referencia: researchcenter.paloaltonetworks.com

Legfrissebb sérülékenységek
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-68428 – jsPDF path traversal sérülékenysége
Tovább a sérülékenységekhez »