פאלו אלטו זיהתה פריצה לכ-225 אלף אייפונים

דרוג:

נוזקה במערכת ההפעלה של האייפון גנבה מעל ל-225 אלף חשבונות ויוצרת אפליקציית Utopia בחינם • פאלו אלטו מיוצגת בישראל באופן בלעדי על ידי אינוקום מקבוצת אמן

חברת המחקר הסינית WeipTech, שמורכבת ממשתמשי ומתכנתי אייפון, ניתחה לאחרונה חבילות פריצה לאייפונים שהתקבלו מדיווחים של משתמשים ומצאה מעל ל-225 אלף חשבונות אפל פעילים עם סיסמאות ששמורים על השרת. יחד עם WeipTech פאלו אלטו זיהתה 92 דוגמאות שונות ברחבי העולם למשפחת נוזקות ל-IOS (מערכת ההפעלה של האייפון). לאחר ניתוח הדוגמאות מצאה פאלו אלטו את מטרת מפיץ הנוזקות וכינתה אותה בשם KeyRaider. זוהי גניבת החשבונות הגדולה ביותר באפל שנוצרה מנוזקה.

 

נוזקת KeyRaider מכוונת לאייפונים פרוצים ומופצת דרך מאגרי צד שלישי של תוכנת Cydia (תוכנת פריצה למערכת האייפון) בסין. על פי המסתמן, האיום השפיע על משתמשים מ-18 מדינות: סין, צרפת, רוסיה, יפן, בריטניה, ארה"ב, קנדה, גרמניה, אוסטרליה, איטליה, ספרד, סינגפור, דרום קוריאה וגם ישראל.

 

הנוזקה פועלת כך שהיא מתלבשת על תהליכי המערכת באמצעות מערכת ה- MobileSubstrate, מסגרת הפעילות של תוכנת ה-Cydia, וגונבת שמות משתמשים וסיסמאות של לקוחות אפל, כמו גם את המזהה הייחודי הגלובלי (GUID) של הטלפון, על ידי כך שהיא קולטת את התנועה ב-iTunes שעל המכשיר. הנוזקה גונבת את הרשאות עדכוני ה-Push ואת המפתחות הפרטיים, גונבת ומשתפת את פרטי הרכישות בחנות האפליקציות של אפל, ומשביתה את פונקציות הפריצה המקומית והמרוחקת באייפונים ואייפדים.

 

על פי המסתמן, נוזקת KeyRaider הצליחה לגנוב מעל ל-225 אלף חשבונות אפל פעילים ואלפי הרשאות, מפתחות פרטיים וחשבוניות רכישה. לאחר מכן, הנוזקה מעלה את המידע הגנוב לשרת השליטה והבקרה שלה (C2), שהוא עצמו כולל נקודות תורפה שחושפות את נתוני המשתמשים.

 

מטרת המתקפה היתה לאפשר למשתמשים בעלי שתי חבילות פריצה ספציפיות ל-iOS להוריד אפליצקיות מחנות ה-App Store הרשמית ולבצע רכישות בתוך האפליקציות ללא לשלם בפועל. חבילות פריצה (Jailbreak Tweaks) הן חבילות תוכנה שמאפשרות למשתמשים לבצע פעולות שאינן אפשריות לרוב ב-iOS.

 

שתי חבילות פריצה אלו חוטפות את בקשת הרכישה של האפליקציה, מורידות חשבונות גנובים או רוכשים קבלות מתוך שרת ה-C2, ולאחר מכן מדמות את הפרוטוקול של ה-iTunes בכדי להתחבר לשרת של אפל ולרכוש אפליקציה או פריטים אחרים המבוקשים על ידי המשתמש. לחבילות הפריצה הללו יש מעל ל-20 אלף הורדות, מה שמביא להשערה כי כ-20 אלף גולשים משתמשים ב-225 אלף פרטי המשתמשים הגנובים.

 

חלק מקורבנות גניבת הזהויות דיווחו כי חשבונות אפל הגנובים שלהם הראו היסטורית רכישת אפליקציה לא רגילה. אחרים דיווחו כי הטלפונים שלהם נחסמו בתמורה לכופר. בגדול הנוזקה עובדת בשלושה מישורים שונים:

·         גניבת פרטי חשבונות של Apple (שם משתמש וסיסמה) כמו גם את המזהה הייחודי הגלובלי (GUID) – זאת נעשה על ידי השתלטות על הרשאות הפרטיות SSL של מערכת ה-iTunes של הטלפון. כאשר מערכת ה-App Store מבקשת מהמשתמש להכניס את הסיסמה שלו, המידע נשלח לשרת של אפל באמצעות תעודות SSL. הנוזקה מחפשת את הפעילות הזו וגונבת ממנה את המידע של המשתמשים. לאחר מכן המידע נשלח לשרת ה-C2 של התוקפים.

·         גניבת הרשאות ומפתחות פרטיים המשמשים את שירות התראות ה-Push של אפל – הנוזקה עושה זאת על ידי שהיא יוצרת הרשאות מזוייפות לשליחת התראות Push.

·         מניעה מנעילה של המכשיר הנגוע על ידי סיסמה או ענן ה-iCloud של אפל – במהלך חטיפת המידע הנוגע להתראות שמגיע משרת אפל, הנוזקה גם חוטפת את המידע הנוגע לנעילת המכשיר.

פאלו אלטו מספקת שירותים לזיהוי נוזקת ה-KeyRaider ולאיתור של פרטי משתמשים גנובים.

 

זיהוי הנוזקה

החל מיולי השנה, החלו להתקבל דיווחים כי חלק מחשבונות אפל שומשו ליצירת רכישות לא מורשות או להתקנת אפליקציות של אפל. על ידי בחינת חבילות פריצה, גילתה פאלו אלטו חבילה אחת שאספה מידע ממשתמשים והעלתה אותה לאתר לא לא צפוי. החברה מצאה שלאתר זה יש תורפת החדרת SQL טריוויאלית שמאפשרת גישה לכל הרשומות בבסיס הנתונים Top100.

 

בתוך בסיס הנתונים הזה, נמצאה טבלה בשם Aid שכללה 225,941 רשומות. לכ-20 אלף מתוכן היו שמות משתמשים, סיסמאות ומזהים ייחודים גלובליים בצורת טקסט פשוט, בעוד שאר הרשומות היו מוצפנות. על ידי הנדסה לאחור (Reverse Engineering) של חבילות הפריצה, מצאה החברה חתיכת קוד שמשתמשת בתקן ההצפנה המתקדם AES עם מפתח קבוע של mischa07. כך, ניתן לפענח את שמות המשתמשים והסיסמאות המוצפנות בשימוש במפתח סטטי. באופן זה הצליחה החברה לאשר כי רשימת שמות המשתמשים היו לקוחות אפל פעילים. חוקרי החברה זרקו כמחצית מכל הרשומות בבסיס הנתונים לפני שמנהל האתר זיהה אותם וסגר את השירות. הנתונים פורסמו בהרחבה באתר WeipTech בסוף אוגוסט

 

מניתוח ראשוני של הנתונים עלה כי חבילות הפריצה לא הכילו קוד זדוני שמאפשר לגנוב סיסמאות ולהעלותם לשרת ה-C2. עם זאת, ממידע נוסף עולה כי היתה נוזקה נוספת שאספה פרטים של משתמשים והעלתה אותם לשרת.

 

הפצת נוזקת KeyRaider

על פי בדיקות פאלו אלטו, הנוזקה מתפשטת רק דרך מאגרי Cydia עבור מכשירי iOS פרוצים. מאגר ה-Cydia בשם Weiphone מהווה מאגר פרטי בו משתמשים רשומים יכולים להעלות אליו אפליקציות באופן ישיר ולשתף חבילות פריצה עם משתמשים אחרים. משתמש אחד של המאגר הזה, בשם mischa07 העלה לפחות 15 דוגמאות שונות של נוזקת ה-KeyRaider למאגר הפרטי שלו ב-2015. מאחר ושם הקוד mischa07 נצרב גם בנוזקה כמפתח ההצפנה והפענוח, בחברה מאמינים כי אותו המשתמש הינו יוצר הנוזקה:

 

חלק מהדברים שאותו משתמש העלה, הורדו על ידי עשרות אלפי משתמשים אחרים. אותם אפליקציות וחבילות פריצה כוללות פונקציות כמו Cheat במשחקים, כוונון מערכות והפשטת פרסומות. שתי החבילות הפופולאריות ביותר מאפשרות הורדה של אפליקציות בתשלום מהחנות של אפל באופן חינמי, ושירות שמאפשר ביצוע רכישות בתוך האפליקציות עצמן ללא תשלום.

 

משתמש נוסף בפורום, בשם Bamu, אמנם מחק את מרבית הפוסטים שלו ברגע שהתגלתה הפריצה, אך מבדיקת החברה התגלה כי 77 מהאפליקציות והחבילות שפרסם בעבר התקינו את נוזקת KeyRaider על אלו שהורידו אותם. מסתמן כי בעוד mischa07 היה זה שיצר את הנוזקה ופיתח גרסאות שונות שלה, האפליקציות של bamu כללו אריזה מחדש של אפליקציות קיימות (כמו למשל iFile). מהמידע שנחשף נמצא כי 67% מהחשבונות הגנובים הגיעו מ-bamu.

 

איום נוסף – טלפונים שנתפסים תמורה לכופר

בנוסף לגניבת פרטי משתמשים, לנוזקת KeyRaider יש גם יכולת מובנת לתפוס מכשירי iOS בתמורה לכופר. בשונה מנוזקות שונות שפעלו במערכת של אפל והתבססו על  סיסמאות של ענן ה-iCloud, נוזקת KeyRaider יכולה לבטל לחלוטין כל פעולה של פתיחת המכשיר, גם אם הסיסמה הנכונה הוקלדה. הנוזקה יכולה לשלוח גם הודעת התראה הדורשת כופר באופן ישיר דרך שימוש בהרשאות והמפתחות הפרטיים הגנובים, ללא הצורך לעבור בשרת התראות ה-Push של אפל.  

 

איומים נוספים פוטנציאליים

שימוש בשמות המשתמשים והסיסמאות של אפל יכול להביא למתקפות נוספות. למשל, תוקפים יכולים להשיג שליטה על מכשירים דרך ה-iCloud לגשת ישירות לכל המידע של הודעות ה-iMessage של המשתמשים, אנשי הקשר שלהם, תמונות, מסמכים ואף מיקום, כפי שנעשה בפריצה המתקושרת לשרתי ה-iCloud שהתרחשה ב-2014.

 

בנוסף, תוקפים יכולים להשתמש במידע גנוב כדי לקדם את הדירוג ואת מספר ההורדות של אפליקציות בחנות ה-App Store של אפל בצורה לא חוקית. למעשה, הרבה מקורבנות KeyRaider דיווחו על פעילות הורדת אפליקציות לא רגילה, מה שהוביל לבסוף לחשיפת הנוזקה. מעבר לכך, הורדת אפליקציות בתשלום מהחנות ללא צורך לשלם עליהם, משמעותו שעלות האפליקציה תצא מקורבן התקיפה אך הכסף ילך לאפל ובחלקו גם למפתחים. במקרים מסויימים נמצא כי אותם מפתחים שיתפו פעולה עם התוקפים בחלוקת הכסף.

 

בשנתיים האחרונות רואים עלייה ביכולת התוקפים להשתמש במידע כדי ליצור הודעות ספאם לשירות ה-iMessage של אפל. הודעות כאלו הן קשות יותר לחסימה מסמסים רגילים, כיוון שהן דורשות חיבור אינטרנט בלבד, ולא חיבור סלולרי.

 

הגנה ומניעה

"חשוב לזכור כי נוזקת KeyRaider משפיעה רק על מכשירי אפל פרוצים. כלומר משתמשים שלא פרצו את האייפון או האייפד שלהם נותרים מוגנים," אומר ציון עזרא, סמנכ"ל מכירות באינוקום מקבוצת אמן, המפיצה הבלעדית של פאלו אלטו בישראל. "בנוסף, חשוב לציין כי רק כמחצית מחשבונות הגנובים נחשפו לפני שהתוקפים זיהו את נקודת התורפה, כך שכל משתמש שאי פעם הוריד אפליקציות או חבילות פריצה ממקור Cydia יכול להיות מודבק. פאלו אלטו הוציאה התראה על חתימות DNS מתוך שרת ה-C2 הזדוני. אנחנו נשארים במעקב יחד איתם עבור משתמשים שנחשפו לתקיפה."

 

"באופן כללי, מומלץ לא לפרוץ את מכשירי האפל שלכם אם ניתן להימנע מכך. אין כיום מאגרי Cydia שמריצים בדיקות אבטחה על אפליקציות או חבילות, כך שהשימוש בהם הוא על אחריות המשתמשים בלבד. אנו ממליצים כי כל המשתמשים שפרטיהם נגנבו יחליפו את סיסמת חשבון האפל שלהם לאחר שהצליחו להסיר את הנוזקה ויצרו זיהוי הכולל שני משתנים לפרופיל ה-Apple ID שלהם," הוא מסכם.

 

אודות אינוקום

אינוקום הינה Value Added Distributor המייצגת בישראל חברות IT מובילות ומתמקדת במכירת מוצרי טכנולוגיה חדשניים לשוק ה-IT הישראלי. מאז הקמתה, עובדת אינוקום עם יצרניות מובילות ועם שותפים מקומיים מובילים לביצוע הטמעות מוצלחות של טכנולוגיות IT חדשות.
כחלק מקבוצת אמן, אינוקום מציעה מוצרים ופתרונות לתחומי אבטחת רשתות, אופטימיזצית WAN  ושירותי ניהול מבוססי ענן. יחד עם השותפים העסקיים שלה, אינוקום מציעה את הפתרונות המתאימים ביותר ללקוחותיה, על-מנת שאלה ייהנו מיתרון תחרותי דרך חדשנות טכנולוגית.
למידע נוסף, בקרו באתר החברה, בכתובת  www.innocom.co.il

 


תגיות של המאמר: קבוצת אמן | Aman | אינוקום |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

Insight משיקה את Insight AI, דרך חדשה להשגת תוצאות בתחום הבינה המלאכותית ‏Insight Enterprises ‏(נאסד"ק NSIT:) הכריזה על השק
InterSystems משיקה את HealthShare AI Assistant למיטוב אחזור נתונים ומעורבות קלינית בעזרת בינה שיחתית InterSystems, ספקית טכנולוגיית נתונים יצירתית המפע
Denodo השיגה מעמד של שותפה ברת תוקף של Databricks בזכות האינטגרציה החלקה שלה בתמיכה עבור בינה מלאכותית ואנליטיקה Denodo, חברה מובילה בניהול נתונים, הודיעה כי השיגה
John Crane משיקה את Performance Plus™ - עידן חדש של מצוינות בשירות עבור ציוד מסתובב John Crane, מובילה עולמית בפתרונות ציוד מסתובב וחב
SASE OpsLab משתפת פעולה עם Netskope כדי לחולל מהפכה בפריסות בקנה מידה גדול של SASE, וכדי להבטיח חוויית לקוח חלקה UBiqube, המובילה העולמית בתיאום ומיכון של תשתיות I
חברות פארק המדע והטכנולוגיה HKSTP הצטרפו למשלחת הונג קונג המבקרת בערב הסעודית לחיזוק קשרי החדשנות וההשקעות ביוזמת ההשקעות העתידית התשיעית (FII9) תאגיד פארקי המדע והטכנולוגיה של הונג קונג - Hong K
mimik מחוללת מהפכת בינה מלאכותית בהתקני קצה באבו דאבי - יוזמה משותפת חדשה יוצרת טביעת רגל גלובלית עבור AI עצמאי בהתקני קצה ‏mimik, חלוצה גלובלית בתחום Continuum AI בהתקנים
מפתחי משחקים יכולים כעת ללכוד יותר ביקוש בחגים עם תיק התשלומים המורחב של Xsolla Xsolla, חברת מסחר משחקי וידאו גלובלית המסייעת למפת
מפתחי משחקים יכולים כעת לחזק את נאמנותם ואבטחתם של השחקנים בעזרת מערכת הפינטק המורחבת של Xsolla בעונת החגים הזו Xsolla, חברת מסחר משחקי וידאו גלובלית המסייעת למפת
מפתחים לנייד נכנסים לעידן חדש של חופש בפלטפורמה עם העדכונים האחרונים של Xsolla Web Shop ו-Buy Button ‏Xsolla, חברה גלובלית העוסקת בהפצה מסחרית של משחקי
Denodo הוכרה כספקית מובילה בדו"ח Dresner Advisory Active Data Architecture™, בפעם השנייה ברציפות Denodo, חברה מובילה בניהול נתונים, הודיעה כי דורגה
DDPAI השיקה את סדרת Z90 בריאד: "נולדה להוביל" מגדירה סטנדרט חדש במצלמות דשבורד חכמות DDPAI השיקה רשמית את סדרת הדגל שלה Z90 והציגה את ה
ZincFive חושפת את BC 2 AI אשר יפעיל את מרכזי הנתונים מונעי בינה מלאכותית בעידן הבא ‏ZincFive ®, חברה עולמית מובילה לפתרונות המבוססים
Blackline Safety מרחיבה את טביעת הרגל הגלובלית שלה עם משרדים חדשים בגרמניה ובאיחוד האמירויות הערביות ‏חברת Blackline Safety Corp ‏(TSX: BLN), חברה מובי
Space42 מכריזה על זמינות גלובלית של Thuraya-4, מערכת לווייני התקשורת של הדור הבא שלה Space42 (ADX: SPACE42), חברת טכנולוגיית חלל מונעת
Quantexa הופכת את פלטפורמת המודיעין לקבלת החלטות שלה ל-'מוכנה לסוכנים' כדי לפתור את הבעיות הקשות ביותר בבינה מלאכותית: פיצול נתונים והקשר בקפיצת מדרגה משמעותית עבור בינה מלאכותית ארגונית,
CMiC משיקה את NEXUS: ה-ERP הראשון לבנייה המופעל על ידי בינה מלאכותית המשלב עיבוד שפה טבעית, בינת בנייה ואוטומציה מונעת סוכנים CMiC, הספקית המובילה של הדור הבא של ERP לבנייה, הו
מטוס הקרב הלא מאויש GA-ASI Gambit 6 החדש מוסיף פעילות אוויר-קרקע עבור לטובת CCA בינלאומי הגרסה המעודכנת של סדרת Gambit החדשנית של כלי טיס ק
עתידם של מטוסי קרב אוטונומיים מגיע לרומא General Atomics Aeronautical Systems, Inc. (GA-ASI
Bending Spoons רוכשת את AOL לאחר מימון חוב בסך 2.8 מיליארד דולר חברת הטכנולוגיה Bending Spoons הכריזה היום כי חתמה
הוסף תגובה 
תגובות  ( תגובות)