Вредоносную программу Jekyll залили в AppStore


apple pirate

Цензоры Apple очень внимательно смотрят все приложения, которые отправляют разработчики и провести туда злокачественное приложение - трудно. Специалистам по безопасности из Технологического института Джорджии (США) удалось доказать обратное. Они успешно поместили приложение в AppStore и сумели реализовать в нем вредоносную функциональность с помощью ROP-атаки (атака возврата в библиотеку, Return Oriented Programming).

Эта атака (ROP-атака) позволяет обойти и защиту с помощью цифровой подписи в AppStore, и механизм защиты DEP, что и сделал автор программы Тиелей Ванг (Tielei Wang) с коллегами из Технологического института Джорджии.

"Яблочная" компания очень тщательно скрывает процедуру проверки приложения для AppStore. Теперь завеса тайны приоткрылась. По крайней мере, мы знаем, что провести вредоносное приложение через модерацию действительно возможно. ROP-атака позволяет скрыть вредоносные функции и от ручной модерации, и от автоматической модерации типа статичного анализа кода.

Программу Jekyll разместили в AppStore под видом приложения для чтения университетских новостей. Фрагменты кода активизировались после установки и с удаленного сервера скачивался update, который добавлял в программу различную функциональность: публикация твитов от имени жертвы, рассылка почтовых писем, передача на сервер персональной информации пользователя и идентификатора устройства, съемка фотографий и т.д.

Программу Jekyll опубликовали в марте 2013 года. Авторы скачали ее на свои устройства, после чего быстро удалили приложение из AppStore. За пару минут его никто не успел купить. Исследователи уверены, что компании Apple нужно усовершенствовать процедуру проверки приложений.

Доклад с описанием работы по изучению AppStore "Jekyll on iOS: When Benign Apps Become Evil" опубликован 16 августа на конференции Usenix в Вашингтоне. Представители компании Apple сообщили, что уже предприняли "определенные действия", чтобы исправить ситуацию, описанную в докладе.

Стоит отметить, что к такому способу атаки уязвимы все мобильные платформы, для защиты требуется следить за поведением программы на мобильном телефоне после ее установки.