SandJacking – новая техника эксплуатации уязвимостей в iOS

Разработка вредоносного ПО для iOS - дело непростое. Архитектура ОС предусматривает запуск каждого отдельного приложения в песочнице. Такой подход не позволят другим процессам использовать ресурсы и данные приложения. Безопасность песочницы при такой архитектуре имеет самый высокий приоритет, поскольку внутри песочницы могут находиться самые важные документы, базы данных, библиотеки и файлы куки.

Компания Apple также делает все возможное для предотвращения распространения вредоносного ПО, заставляя пользователей iPhone и iPad устанавливать все приложения исключительно из своего магазина.

Несмотря на все предпринимаемые разработчиком меры, в течение нескольких последних лет вредоносное ПО распространялось на устройства в обход строгих ограничений путем эксплуатации ошибок дизайна. Такими вредоносами являются WireLurker, YiSpecter, XCodeGhost, ZergHelper и AceDeceiver.

Исследователь безопасности из компании Mi3 Security Чилик Тамир (Chilik Tamir) является автором различных техник обхода ограничений безопасности в iOS. Ранее он успешно продемонстрировал подмену сертификата Apple для установки вредоносного ПО на устройства, а также представил на конференции Black Hat Asia в этом году демонстрационный эксплоит для атаки Su-A-Cyder. Атака заключалась в быстрой подмене легитимного ПО на поддельное при подключенном iPhone к компьютеру. Подобную атаку было легко осуществить до выхода iOS 8.3.

Атака SandJacking, описанная исследователем, является по существу новым методом эксплуатации Su-A-Cyder, правда работает этот метод на самой последней версии iOS. Проблема заключается в том, что при устранении уязвимости, используемой для Su-A-Cyder, разработчик устранил ошибку в процессе установки приложения. Однако эта же уязвимость может эксплуатироваться во время восстановления приложения с использованием резервной копии.

Атакующий может сделать резервную копию приложений, заменить в ней подлинный файл на вредоносный и восстановить приложение с использованием измененной копии. Для успешной эксплуатации уязвимости требуется физический доступ к устройству.

Об уязвимости исследователь сообщил Apple еще в декабре 2015 года. Успешная атака SandJacking была продемонстрирована в ходе конференции Hack In The Box (HITB) в четверг, 26 мая.