Шкідливий додаток з App Store краде Apple ID користувачів
Користувачі смартфонів Apple зазвичай вважають, що їх iPhone - це непорушна фортеця, особливо в порівнянні з Android-пристроями. Дійсно, айфони безпечніші, ніж їх Android-побратими, багато в чому завдяки тому, що виробник дуже ретельно перевіряє кожне нове додаток в App Store. Але вони ні в якому разі не абсолютно безпечні. Як ви, мабуть, знаєте, немає таких фортець, які неможливо було б взяти. 
Ми вже не раз писали про досить небезпечних зловредів для iOS і навіть підготували список порад для захисту пристроїв Apple. Кіберзлочинці продовжують створювати все нові шкідливі програми для iOS. Нещодавно фахівці компанії Palo Alto Networks виявили чергового зловреда, і на даний момент він є одним з найнебезпечніших у всій злочинної братії.
Чому? Тому що це додаток може дістатися практично до будь-якого айфона, а не тільки до джейлбрейкнутих пристроїв, і йому не потрібно красти корпоративний сертифікат, щоб встановити себе в телефон. Нова зараза називається AceDeciever.
Благими намірами ...
Все почалося з того, що хтось вирішив не платити за потрібні йому речі. Так з'явився спосіб красти iOS-додатки, які експлуатують уразливість в DRM-системі Apple FairPlay. Реалізується такий злом за допомогою атаки «людина посередині» (Man-in-the-Middle).
Ми не будемо детально зупинятися на тому, що таке Man-in-the-Middle, - всю необхідну інформацію ви можете знайти в цьому пості . Замість цього ми краще поговоримо про те, що таке FairPlay і як саме цей захист обходить AceDeciever.
Apple FairPlay - це система захисту авторських прав (DRM, Digital Rights Management) на музику, відео і iOS-додатку. Як ви, напевно, знаєте, користувачі iPhone можуть купувати додатки в установленому на комп'ютері клієнта iTunes, а потім переносити їх до себе в телефон. Звичайно, для цього потрібно довести, що ви дійсно сплатили ту чи іншу програму. В якості такого підтвердження FairPlay використовує спеціальний код, згенерований iTunes.
Код цей завжди однаковий для кожної програми. І якщо вам вдасться перехопити його для якогось додатку, ви зможете встановити його на будь-яку кількість айфонів і Айпад. Саме так працює атака «людина посередині» у випадку з FairPlay.
двуликое додаток
Згодом цей метод дозволив піратам створити повноцінний магазин крадених додатків. Він працював на базі Windows-програми Aisi Helper, яку також раніше використовували для джейлбрейка айфонів, бекапа даних і переустановлення iOS. Програму відновили, і вона почала встановлювати однойменне додаток в кожен iPhone, підключений до комп'ютера з працюючим Aisi Helper. Ця програма пропонувало користувачам безліч зламаних додатків, які можна було безкоштовно скачати.
Цікаво, що додаток Aisi Helper потрапляло на айфони за допомогою все тієї ж атаки FairPlay Man-in-the-Middle. Спочатку творцям програми довелося завантажити Aisi Helper в App Store, отримати покладений код аутентифікації і вже потім використовувати його для установки свого дітища на смартфони Apple. Зробити це було не так-то просто, адже компанія Apple навряд чи схвалила б поява магазину піратських програм в своєму App Store.
Щоб обдурити систему захисту Apple, Aisi Helper притвор нудним і безпечним додатком з безкоштовними шпалерами для смартфонів. Щоб ще більше підстрахувати себе, творці вдалися до хитрого трюку. Додаток було опубліковано тільки в американському і британському App Store. При завантаженні він запитував його географічні координати і всім користувачам не з Китаю показувало тільки картинки для робочого столу. Своє справжнє обличчя Aisi Helper відкривало тільки власникам айфонів, що знаходяться в Китаї.
Таким чином, щоб зрозуміти, що відбувається, фахівці з безпеки з американського App Store повинні були потрапити в Китай, а це дуже малоймовірно. Тому довгий час ніхто в Apple не підозрював, що це додаток може щось цікавіше, ніж встановити нову картинку на робочий стіл користувача.
На даний момент Apple вже видалила всі версії Aisi Helper з App Store, але виявилося, що цей захід безпеки не зупинила піратів. Для успішної атаки FairPlay Man-in-the-Middle потрібно всього лише, щоб додаток побувало в App Store хоча б раз. А додатка Aisi Helper там дуже навіть побували.
Нечесна гра
Так що ж поганого в магазині піратських програм крім порушення авторських прав і збитку для розробників? Якщо хтось скаже вам: «Я тут дещо вкрав і віддаю вам безкоштовно», ні за що йому не вірте, ні в якому разі. Імовірність того, що вас обманюють, - 99,9%.
І з додатком Aisi Helper все саме так. До пори до часу воно не шкодило користувачам, але в якийсь момент творці щось поміняли, і Aisi Helper початок просити логіни і паролі від Apple ID користувачів, щоб надати їм «більше можливостей». І ці відомості передавалися безпосередньо на командний сервер AceDeciever.
Тому цілком логічно, що цей зловредів потрапив на сторінки Kaspersky Daily. Крадіжка облікових записів Apple - це не жарт. Діра в системі захисту FairPlay досі не виправлена, і, навіть якщо одного разу її закриють, більш старі версії ОС, швидше за все, так і залишаться вразливими.
І як мені себе захистити?
У нас є хороші і погані новини. Хороші: на даному етапі AceDeciever поширюється виключно в Китаї. Погані: ніхто не гарантує, що зловмисники не створять нове шкідливе ПЗ, яке експлуатує всі ту ж уразливість. Тому ми рекомендуємо всім користувачам iOS-пристроїв зробити наступне:
1. Не намагайтеся джейлбрейкнути власний iPhone. Це НЕ безпечно через цілу низку причин, в тому числі і тому, що саме ПЗ для джейлбрейка теж використовується кіберзлочинцями для атак на користувачів.
2. Золоте правило користувачів Google Play стане в нагоді і власникам iPhone: завжди перевіряйте, які програми ви встановлюєте. Творці AceDeceiver довели, що захисну систему Apple можна обійти. Так як виробник не дозволяє викладати в своєму магазині антивірусне ПЗ, варто троянцу потрапити до вас в систему - і ви залишитеся з ним один на один.
3. На щастя, ви можете захистити інші свої пристрої. І це важливо: наприклад, у випадку з Aisi Helper антивірусне ПЗ визначило б цю програму як шкідливу розробку AceDeciever.
Чому?І як мені себе захистити?
