Ερευνητές από την εταιρεία ασφαλείας FireEye αποκάλυψαν ένα νέο bug στο iOS που επιτρέπει σε μια κακόβουλη εφαρμογή να παρακολουθεί και να συνδεθεί χρησιμοποιώντας τα δεδομένα αφής ενός χρήστη ενώ λειτουργεί στο παρασκήνιο. Το νέο exploit φέρεται να στοχεύει ένα ελάττωμα στις δυνατότητες multitasking του iOS “για να έχει πρόσβαση στα δεδομένα των χρηστών, και πραγματοποιεί την αποστολή τους σε έναν απομακρυσμένο server.
Για να αποδείξουν την ευπάθεια, οι ερευνητές δημιούργησαν ένα POC (proof-of-concept) των δράσεων της κακόβουλης εφαρμογής και ανέπτυξαν προσεγγίσεις για την αποτελεσματική διαδικασία “παράκαμψης” του App Store της Apple. Μόλις η εφαρμογή εγκατασταθεί σε μια συσκευή iOS, αρχίζει να καταγράφει τι συμβαίνει στο πληκτρολόγιο, τη χρήση του όγκου δεδομένων, το home και τα power buttons, τα αγγίγματα στην οθόνη καθώς και όλες τις δραστηριότητες από το Touch ID. Όλα αυτά καταγράφονται και αποθηκεύονται!
Οι ερευνητές σημείωσαν επίσης ότι η κακόβουλη εφαρμογή απενεργοποιεί την ρύθμιση του iOS “Background App Refresh” για να μην απενεργοποιήσετε το κακόβουλο app από την καταγραφή δεδομένων.
Η FireEye αναφέρει:
Σημειώστε ότι το demo μας εκμεταλλεύεται την τελευταία έκδοση 7.0.4 του iOS συστήματος σε μια μη jailbroken συσκευή iPhone 5s με επιτυχία. Έχουμε διαπιστώσει ότι η ίδια ευαισθησία υπάρχει και στις εκδόσεις του iOS 7.0.5, 7.0.6 και 6.1.x. Με βάση τα ευρήματα, οι πιθανοί επιτιθέμενοι μπορούν να χρησιμοποιήσουν είτε για επιθέσεις phishing είτε για να παραπλανήσουν το θύμα και να εγκαταστήσει μια κακόβουλη εφαρμογή ή να εκμεταλλευτεί μια άλλη απομακρυσμένη ευαισθησία ορισμένωνεφαρμογών, και στη συνέχεια να διεξάγει παρακολούθηση στο παρασκήνιο.
Η ομάδα πρόσθεσε ότι εργάζονται ενεργά με την Apple για να διορθώσει το πρόβλημα. Η είδηση έρχεται λιγότερο από μία εβδομάδα μετά την κυκλοφορία της ενημερωμένης έκδοσης του iOS 7.0.6 από την Appleγια τον προσδιορισμό μιας ευπάθειας της SSL που επέτρεψε στους hackers να αποκτήσουν ή να τροποποιήσουν δεδομένα του Safari και άλλων εφαρμογών σε δήθεν ασφαλείς συνεδρίες.
