YiSpecter iOS kártékony kód


2015. október 6. 07:00

CH azonosító

CH-12667

Angol cím

YiSpecter iOS Malware

Felfedezés dátuma

2015.10.03.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Safari
iOS for iPad
iPhone OS (iOS)

Érintett verziók

Apple iOS, Apple Safari, Apple iPad

Összefoglaló

Nemrég azonosítottak egy új Apple iOS kártékony kódot, és elnevezték YiSpecter-nek. A YiSpecter eltér a korábban látott iOS kártékony kódoktól, mert megtámadja mind a feltört, (jailbreak) és mind a nem manipulált iOS eszközöket. Pontosabban, ez az első kártékony kód, amely visszaél saját egyéni API-kal, így kikerüli az Apple App Store szigorú felülvizsgálati szabályait. Elsődlegesen érintett területek, Kína és Tajvan.

Leírás

A Palo Alto Networks kutatói 100 alkalmazást találtak az Apple App Store-ban, amely visszaélt saját API-jaival és kiiktatja az Apple hírhedten szigorú felülvizsgálati szabályait.

Ebben az esetben, a támadók nem használják az Apple App Store-t a malware terjesztésére, hanem támaszkodnak a vállalati tanúsítványok mellékhatásaként a kártékony programok telepítésére.

A YiSpecter teljeskörű jogosultságokat kap a feltelepült iOS eszközökön. Így képes letölteni, telepíteni, és elindítani több iOS alkalmazást, a meglévő alkalmazásokat képes lecserélni, más alkalmazásokban reklámhirdetéseket jelenít meg, és kicseréli a Safari alapértelmezett keresőjét. Hamisítja a Safari könyvjelzőit és megnyitott oldalait, majd feltölti az eszközök adatait a támadók szerverre.

A kutatók kielemezték, hogy a XcodeGhost és a YiSpecter hatásai nem mutatnak némi technikai hasonlóságot, a támadások nem kapcsolódnak egymáshoz.

Megoldás

Az YiSpecter eltávolítását javasoljuk a következő lépésekben:

  • Belépés a következő menűpontokba:  Beállítások -> General -> Profiles, távolítsa el az összes ismeretlen vagy nem megbízható profilt;
  • Használjon olyan harmadik iOS eszközt (pl iFunBox, bár figyelembe, hogy az Apple iTunes nem működik ez a lépés) Windows vagy Mac OS X, csatlakozzanak a iPhone-hoz vagy iPad-hoz;
  • A menedzsment eszköz, ellenőrizze az összes telepített iOS alkalmazást; ha ott van néhány apps név, mint a telefon, Időjárás, Game Center, Passbook, Notes, vagy Cydia, törölje őket.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Privilege escalation (jogosultság kiterjesztés)
Redirecting traffic
Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor
execute code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.heise.de
Egyéb referencia: www.zdnet.com
Egyéb referencia: researchcenter.paloaltonetworks.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »