Уязвимость в iOS позволяет фиксировать и записывать все нажатия на сенсорный экран

Исследователи безопасности из компании FireEye  обнаружили  уязвимость в iOS, позволяющую приложениям, работающим в фоновом режиме, фиксировать и записывать все нажатия на сенсорный экран и клавиатуру. Эта атака подобна уже известному кейлоггингу – хакер может использовать полученные данные о движениях из стороны в сторону и вверх-вниз, чтобы определить, какие символы пользователь набирает на клавиатуре сенсорного экрана.

Уязвимость присутствует в версиях iOS 7.0.6, 7.0.5, 7.0.4 и 6.1.x. Исследователи также обнаружили способ обхода процесса предрегистрационной проверки Apple, благодаря чему вредоносное ПО может беспрепятственно попасть в App Store.

«Такое приложение для мониторинга может записывать все прикосновения и нажатия на сенсорный экран, Touch ID, кнопку Home и регуляторы звука, а также отправлять полученные данные на удаленный сервер», - сообщили исследователи.

Для того, чтобы заставить пользователей загрузить такое приложение, злоумышленники могут использовать социальную инженерию. Несмотря на то, что iOS 7 предоставляет пользователям возможность выбирать, к какому приложению принимать или отклонять обновленный контент, существует способ обхода и этого процесса.

«Например, приложение может проигрывать музыку в фоновом режиме без включения опции «фоновые обновления приложений». Таким образом, для проведения фонового мониторинга вредоносные приложения могут маскироваться под музыкальные», - сообщили эксперты.

Лучшим способом избежать этой проблемы, пока Apple не выпустила патч, является использование диспетчера задач iOS для закрытия приложений, работающих в фоновом режиме.