Авторизация:


Сообщество людей и технологий
Сегодня у нас: год

Уже есть аккаунт? Войти
Присоединяйся к нашему гик сообществу!

Создай свой блог, делись интересной информацией из мира высоких технологий.

Устройства на iOS можно скомпрометировать из-за бага в механизме синхронизации через Wi-Fi
Статьи, 15-02-2018, 03:45

Устройства на iOS можно скомпрометировать из-за бага в механизме синхронизации через Wi-Fi

На конференции RSA 2018 специалисты Symantec рассказали об опасной проблеме, обнаруженной в механизме синхронизации iOS-устройств через iTunes и Wi-Fi. Исследователи дали проблеме имя Trustjacking и предупредили, что патч для нее неэффективен.

Дело в том, что Apple предоставляет своим пользователям возможность синхронизации данных на iOS-устройствах (iPhone, iPad и iPod touch) с помощью iTunes по сети Wi-Fi. Если синхронизация включена, пользователь может «связать» свои iPhone и Mac, после чего сможет получить доступ к смартфону через локальный Wi-Fi в любое удобное время. По сути, это удобная замена проводного соединения двух устройств.

Исследователи объясняют, что проблема заключается в криптографических ключах, генерируемых для доступа к устройству через USB, которые так же используются и во время аутентификации через Wi-Fi. Злоумышленник, завладевший такими ключами, имеет возможность воспользоваться функциональностью синхронизации. Так как учетные данные сохраняются на компьютере перманентно, атака может быть осуществлена недели или даже месяцы спустя.

С помощью Wi-Fi синхронизации через iTunes, атакующий может обманом заставить жертву «спарить» свой смартфон с вредоносным устройством. Кроме того, iTunes API позволяет следить за всем, что происходит на экране устройства, делая скриншоты через заданные промежутки времени и передавая их обратно в iTunes преступника. Злоумышленник сможет даже удаленно устанавливать или удалять приложения, или инициировать бэкап, а позже внимательно изучить все собранные таким образом данные.

Эксперты объясняют, что эксплуатировать Trustjacking можно как с применением социальной инженерии, так и без нее. Так, казалось бы, владелец iPhone или iPad все равно получит всплывающее уведомление и должен будет дать свое разрешение на установление соединения с устройством атакующего. С другой стороны, эксперты объясняют, что малварь, которой злоумышленник может заразить девайс, способна активировать Wi-Fi синхронизацию через iTunes, используя автоматические скрипты, а затем собрать данные с любых iOS-гаджетов, подключенных к той же локальной сети Wi-Fi, или заразить их малварью.

Например, злоумышленник может заразить Mac малварью или купить подержанный компьютер, который перед продажей очистили не слишком тщательно, а после использовать учетные данные для атаки на жертву. Так же запрос о «доверии» пользователь может получить и во время зарядки своего устройства в аэропорту, а затем преступник получит доступ к мобильному устройству через местную сеть Wi-Fi.

Хуже того, аналитики отмечают, что Trustjacking может быть задействован для незаметного направления всего сетевого трафика устройства через VPN, после чего атакующий сможет эксплуатировать проблему даже без участия Wi-Fi.

Эксперты рассказали, что проблема была обнаружена еще в 2017 году, и после релиза iOS 11 пользователей мобильных устройств стали просить ввести пароль во время «спаривания» гаджетов с компьютером. То есть по-тихому соединить чужой iPhone со своим компьютером атакующий уже не сумеет. Однако в Symantec уверены, что этого недостаточно для защиты от Trustjacking. Если пользователь уже «доверился» компьютеру, быстро отозвать доступ он уже не сможет, и далее эксплуатация атаки все равно возможна по любому из вышеописанных сценариев.

Исследователи говорят, что лучший способ удостовериться в том, что ваше iOS устройство не «доверяет» чужим и просто лишним компьютерам, это произвести сброс списка доверенных девайсов вообще. Сделать это можно в настройках: Settings > General > Reset > Reset Location and Privacy.

Фото: ALYSSA FOOTE


Другие новости по теме:


Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться и принять участие в жизни нашего интернет-сообщества, либо войти на сайт под своим именем.
Добавьте комментарий, Ваше мнение очень важно:

Имя:*
E-Mail:
Комментарий:
Вопрос:
rgjrg
Ответ:*
Введите код: *


Самое интересное:
Гику на заметку:
Не iPhone самый продаваемый телефон в истории
Новый планшет BlackBerry PlayBook
Особенности ремонта айфонов своими руками
Переделка дачи
Как выбрать недорогой смартфон
Зависимость от... мобильного телефона и телевизора
Востребованные чехлы для ipone 4
Apple. Истинный лидер или дань моде?
Чехлы для смартфонов и айфонов
Вопрос:

Сколько времени в день Вы проводите за компьютером?

Более 1 часа
Более 3 часов
Более 6 часов
Более 9 часов
Более 12 часов

 


2019 © Cig-bc.ru - Сообщество людей и технологий.

Все права защищены.

При цитировании любых материалов, публикуемых в журнале, обязательна ссылка, помещенная не ниже первого абзаца текста. При копировании новостных материалов для интернет-изданий обязательна прямая открытая для поисковых систем гиперссылка, размещаемая вне зависимости от объема используемых материалов (полного или частичного). Рекламная статья со ссылкой на ваш ресурс/продукт — 500 рублей/1000 символов (статья будет висеть вечно, в качестве обзорной). Для заказа пишите на sales@elenazavyalova.ru!

Категории:

Новости IT
Гаджеты
Железо
Софт
Игры
Информация:

О проекте
Регистрация
Статистика
Карта сайта
RSS
Контакт:

Обратная связь
Email: admin@cig-bc.ru
Email: sotnik200854@gmail.com