פאלו אלטו זיהתה פריצה לכ-225 אלף אייפונים

דרוג:

נוזקה במערכת ההפעלה של האייפון גנבה מעל ל-225 אלף חשבונות ויוצרת אפליקציית Utopia בחינם • פאלו אלטו מיוצגת בישראל באופן בלעדי על ידי אינוקום מקבוצת אמן

חברת המחקר הסינית WeipTech, שמורכבת ממשתמשי ומתכנתי אייפון, ניתחה לאחרונה חבילות פריצה לאייפונים שהתקבלו מדיווחים של משתמשים ומצאה מעל ל-225 אלף חשבונות אפל פעילים עם סיסמאות ששמורים על השרת. יחד עם WeipTech פאלו אלטו זיהתה 92 דוגמאות שונות ברחבי העולם למשפחת נוזקות ל-IOS (מערכת ההפעלה של האייפון). לאחר ניתוח הדוגמאות מצאה פאלו אלטו את מטרת מפיץ הנוזקות וכינתה אותה בשם KeyRaider. זוהי גניבת החשבונות הגדולה ביותר באפל שנוצרה מנוזקה.

 

נוזקת KeyRaider מכוונת לאייפונים פרוצים ומופצת דרך מאגרי צד שלישי של תוכנת Cydia (תוכנת פריצה למערכת האייפון) בסין. על פי המסתמן, האיום השפיע על משתמשים מ-18 מדינות: סין, צרפת, רוסיה, יפן, בריטניה, ארה"ב, קנדה, גרמניה, אוסטרליה, איטליה, ספרד, סינגפור, דרום קוריאה וגם ישראל.

 

הנוזקה פועלת כך שהיא מתלבשת על תהליכי המערכת באמצעות מערכת ה- MobileSubstrate, מסגרת הפעילות של תוכנת ה-Cydia, וגונבת שמות משתמשים וסיסמאות של לקוחות אפל, כמו גם את המזהה הייחודי הגלובלי (GUID) של הטלפון, על ידי כך שהיא קולטת את התנועה ב-iTunes שעל המכשיר. הנוזקה גונבת את הרשאות עדכוני ה-Push ואת המפתחות הפרטיים, גונבת ומשתפת את פרטי הרכישות בחנות האפליקציות של אפל, ומשביתה את פונקציות הפריצה המקומית והמרוחקת באייפונים ואייפדים.

 

על פי המסתמן, נוזקת KeyRaider הצליחה לגנוב מעל ל-225 אלף חשבונות אפל פעילים ואלפי הרשאות, מפתחות פרטיים וחשבוניות רכישה. לאחר מכן, הנוזקה מעלה את המידע הגנוב לשרת השליטה והבקרה שלה (C2), שהוא עצמו כולל נקודות תורפה שחושפות את נתוני המשתמשים.

 

מטרת המתקפה היתה לאפשר למשתמשים בעלי שתי חבילות פריצה ספציפיות ל-iOS להוריד אפליצקיות מחנות ה-App Store הרשמית ולבצע רכישות בתוך האפליקציות ללא לשלם בפועל. חבילות פריצה (Jailbreak Tweaks) הן חבילות תוכנה שמאפשרות למשתמשים לבצע פעולות שאינן אפשריות לרוב ב-iOS.

 

שתי חבילות פריצה אלו חוטפות את בקשת הרכישה של האפליקציה, מורידות חשבונות גנובים או רוכשים קבלות מתוך שרת ה-C2, ולאחר מכן מדמות את הפרוטוקול של ה-iTunes בכדי להתחבר לשרת של אפל ולרכוש אפליקציה או פריטים אחרים המבוקשים על ידי המשתמש. לחבילות הפריצה הללו יש מעל ל-20 אלף הורדות, מה שמביא להשערה כי כ-20 אלף גולשים משתמשים ב-225 אלף פרטי המשתמשים הגנובים.

 

חלק מקורבנות גניבת הזהויות דיווחו כי חשבונות אפל הגנובים שלהם הראו היסטורית רכישת אפליקציה לא רגילה. אחרים דיווחו כי הטלפונים שלהם נחסמו בתמורה לכופר. בגדול הנוזקה עובדת בשלושה מישורים שונים:

·         גניבת פרטי חשבונות של Apple (שם משתמש וסיסמה) כמו גם את המזהה הייחודי הגלובלי (GUID) – זאת נעשה על ידי השתלטות על הרשאות הפרטיות SSL של מערכת ה-iTunes של הטלפון. כאשר מערכת ה-App Store מבקשת מהמשתמש להכניס את הסיסמה שלו, המידע נשלח לשרת של אפל באמצעות תעודות SSL. הנוזקה מחפשת את הפעילות הזו וגונבת ממנה את המידע של המשתמשים. לאחר מכן המידע נשלח לשרת ה-C2 של התוקפים.

·         גניבת הרשאות ומפתחות פרטיים המשמשים את שירות התראות ה-Push של אפל – הנוזקה עושה זאת על ידי שהיא יוצרת הרשאות מזוייפות לשליחת התראות Push.

·         מניעה מנעילה של המכשיר הנגוע על ידי סיסמה או ענן ה-iCloud של אפל – במהלך חטיפת המידע הנוגע להתראות שמגיע משרת אפל, הנוזקה גם חוטפת את המידע הנוגע לנעילת המכשיר.

פאלו אלטו מספקת שירותים לזיהוי נוזקת ה-KeyRaider ולאיתור של פרטי משתמשים גנובים.

 

זיהוי הנוזקה

החל מיולי השנה, החלו להתקבל דיווחים כי חלק מחשבונות אפל שומשו ליצירת רכישות לא מורשות או להתקנת אפליקציות של אפל. על ידי בחינת חבילות פריצה, גילתה פאלו אלטו חבילה אחת שאספה מידע ממשתמשים והעלתה אותה לאתר לא לא צפוי. החברה מצאה שלאתר זה יש תורפת החדרת SQL טריוויאלית שמאפשרת גישה לכל הרשומות בבסיס הנתונים Top100.

 

בתוך בסיס הנתונים הזה, נמצאה טבלה בשם Aid שכללה 225,941 רשומות. לכ-20 אלף מתוכן היו שמות משתמשים, סיסמאות ומזהים ייחודים גלובליים בצורת טקסט פשוט, בעוד שאר הרשומות היו מוצפנות. על ידי הנדסה לאחור (Reverse Engineering) של חבילות הפריצה, מצאה החברה חתיכת קוד שמשתמשת בתקן ההצפנה המתקדם AES עם מפתח קבוע של mischa07. כך, ניתן לפענח את שמות המשתמשים והסיסמאות המוצפנות בשימוש במפתח סטטי. באופן זה הצליחה החברה לאשר כי רשימת שמות המשתמשים היו לקוחות אפל פעילים. חוקרי החברה זרקו כמחצית מכל הרשומות בבסיס הנתונים לפני שמנהל האתר זיהה אותם וסגר את השירות. הנתונים פורסמו בהרחבה באתר WeipTech בסוף אוגוסט

 

מניתוח ראשוני של הנתונים עלה כי חבילות הפריצה לא הכילו קוד זדוני שמאפשר לגנוב סיסמאות ולהעלותם לשרת ה-C2. עם זאת, ממידע נוסף עולה כי היתה נוזקה נוספת שאספה פרטים של משתמשים והעלתה אותם לשרת.

 

הפצת נוזקת KeyRaider

על פי בדיקות פאלו אלטו, הנוזקה מתפשטת רק דרך מאגרי Cydia עבור מכשירי iOS פרוצים. מאגר ה-Cydia בשם Weiphone מהווה מאגר פרטי בו משתמשים רשומים יכולים להעלות אליו אפליקציות באופן ישיר ולשתף חבילות פריצה עם משתמשים אחרים. משתמש אחד של המאגר הזה, בשם mischa07 העלה לפחות 15 דוגמאות שונות של נוזקת ה-KeyRaider למאגר הפרטי שלו ב-2015. מאחר ושם הקוד mischa07 נצרב גם בנוזקה כמפתח ההצפנה והפענוח, בחברה מאמינים כי אותו המשתמש הינו יוצר הנוזקה:

 

חלק מהדברים שאותו משתמש העלה, הורדו על ידי עשרות אלפי משתמשים אחרים. אותם אפליקציות וחבילות פריצה כוללות פונקציות כמו Cheat במשחקים, כוונון מערכות והפשטת פרסומות. שתי החבילות הפופולאריות ביותר מאפשרות הורדה של אפליקציות בתשלום מהחנות של אפל באופן חינמי, ושירות שמאפשר ביצוע רכישות בתוך האפליקציות עצמן ללא תשלום.

 

משתמש נוסף בפורום, בשם Bamu, אמנם מחק את מרבית הפוסטים שלו ברגע שהתגלתה הפריצה, אך מבדיקת החברה התגלה כי 77 מהאפליקציות והחבילות שפרסם בעבר התקינו את נוזקת KeyRaider על אלו שהורידו אותם. מסתמן כי בעוד mischa07 היה זה שיצר את הנוזקה ופיתח גרסאות שונות שלה, האפליקציות של bamu כללו אריזה מחדש של אפליקציות קיימות (כמו למשל iFile). מהמידע שנחשף נמצא כי 67% מהחשבונות הגנובים הגיעו מ-bamu.

 

איום נוסף – טלפונים שנתפסים תמורה לכופר

בנוסף לגניבת פרטי משתמשים, לנוזקת KeyRaider יש גם יכולת מובנת לתפוס מכשירי iOS בתמורה לכופר. בשונה מנוזקות שונות שפעלו במערכת של אפל והתבססו על  סיסמאות של ענן ה-iCloud, נוזקת KeyRaider יכולה לבטל לחלוטין כל פעולה של פתיחת המכשיר, גם אם הסיסמה הנכונה הוקלדה. הנוזקה יכולה לשלוח גם הודעת התראה הדורשת כופר באופן ישיר דרך שימוש בהרשאות והמפתחות הפרטיים הגנובים, ללא הצורך לעבור בשרת התראות ה-Push של אפל.  

 

איומים נוספים פוטנציאליים

שימוש בשמות המשתמשים והסיסמאות של אפל יכול להביא למתקפות נוספות. למשל, תוקפים יכולים להשיג שליטה על מכשירים דרך ה-iCloud לגשת ישירות לכל המידע של הודעות ה-iMessage של המשתמשים, אנשי הקשר שלהם, תמונות, מסמכים ואף מיקום, כפי שנעשה בפריצה המתקושרת לשרתי ה-iCloud שהתרחשה ב-2014.

 

בנוסף, תוקפים יכולים להשתמש במידע גנוב כדי לקדם את הדירוג ואת מספר ההורדות של אפליקציות בחנות ה-App Store של אפל בצורה לא חוקית. למעשה, הרבה מקורבנות KeyRaider דיווחו על פעילות הורדת אפליקציות לא רגילה, מה שהוביל לבסוף לחשיפת הנוזקה. מעבר לכך, הורדת אפליקציות בתשלום מהחנות ללא צורך לשלם עליהם, משמעותו שעלות האפליקציה תצא מקורבן התקיפה אך הכסף ילך לאפל ובחלקו גם למפתחים. במקרים מסויימים נמצא כי אותם מפתחים שיתפו פעולה עם התוקפים בחלוקת הכסף.

 

בשנתיים האחרונות רואים עלייה ביכולת התוקפים להשתמש במידע כדי ליצור הודעות ספאם לשירות ה-iMessage של אפל. הודעות כאלו הן קשות יותר לחסימה מסמסים רגילים, כיוון שהן דורשות חיבור אינטרנט בלבד, ולא חיבור סלולרי.

 

הגנה ומניעה

"חשוב לזכור כי נוזקת KeyRaider משפיעה רק על מכשירי אפל פרוצים. כלומר משתמשים שלא פרצו את האייפון או האייפד שלהם נותרים מוגנים," אומר ציון עזרא, סמנכ"ל מכירות באינוקום מקבוצת אמן, המפיצה הבלעדית של פאלו אלטו בישראל. "בנוסף, חשוב לציין כי רק כמחצית מחשבונות הגנובים נחשפו לפני שהתוקפים זיהו את נקודת התורפה, כך שכל משתמש שאי פעם הוריד אפליקציות או חבילות פריצה ממקור Cydia יכול להיות מודבק. פאלו אלטו הוציאה התראה על חתימות DNS מתוך שרת ה-C2 הזדוני. אנחנו נשארים במעקב יחד איתם עבור משתמשים שנחשפו לתקיפה."

 

"באופן כללי, מומלץ לא לפרוץ את מכשירי האפל שלכם אם ניתן להימנע מכך. אין כיום מאגרי Cydia שמריצים בדיקות אבטחה על אפליקציות או חבילות, כך שהשימוש בהם הוא על אחריות המשתמשים בלבד. אנו ממליצים כי כל המשתמשים שפרטיהם נגנבו יחליפו את סיסמת חשבון האפל שלהם לאחר שהצליחו להסיר את הנוזקה ויצרו זיהוי הכולל שני משתנים לפרופיל ה-Apple ID שלהם," הוא מסכם.

 

אודות אינוקום

אינוקום הינה Value Added Distributor המייצגת בישראל חברות IT מובילות ומתמקדת במכירת מוצרי טכנולוגיה חדשניים לשוק ה-IT הישראלי. מאז הקמתה, עובדת אינוקום עם יצרניות מובילות ועם שותפים מקומיים מובילים לביצוע הטמעות מוצלחות של טכנולוגיות IT חדשות.
כחלק מקבוצת אמן, אינוקום מציעה מוצרים ופתרונות לתחומי אבטחת רשתות, אופטימיזצית WAN  ושירותי ניהול מבוססי ענן. יחד עם השותפים העסקיים שלה, אינוקום מציעה את הפתרונות המתאימים ביותר ללקוחותיה, על-מנת שאלה ייהנו מיתרון תחרותי דרך חדשנות טכנולוגית.
למידע נוסף, בקרו באתר החברה, בכתובת  www.innocom.co.il

 


תגיות של המאמר: קבוצת אמן | Aman | אינוקום |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

משתמשי Denodo משיגים החזר השקעה של 345%, זמן לתובנות מהיר פי 3-4 ויתרונות נוספים, כאשר הם נפרסים לצד אגמי נתונים Denodo, חברה מובילה בניהול נתונים, הכריזה על הזמינ
AWS ו-SAP מרחיבות את שיתוף הפעולה לקידום הריבונות הדיגיטלית ברחבי אירופה ‏Amazon Web Services. (AWS), חברת Amazon.com ‏(נאס
זום זכתה בפרס Magic Quadrant של Gartner לשנת 2025 בתחום תקשורת מאוחדת כשירות זו השנה השישית ברציפות Zoom Communications, Inc (נאסד"ק: ZM) הודיעה היום
VeriSilicon משיקה פלטפורמת IP אלחוטית (FD-SOI) עבור יישומי IoT מגוון ומוצרי חשמל VeriSilicon ‏(688521.SH) הציגה היום את פלטפורמת ה-
Founders Fund ו-Sequoia תומכות בסטארטאפ הבינה המלאכותית הברזילאי Enter בהיקף של 350 מיליון דולר בהימור על השוק המשפטי הקשה בעולם בברזיל יש כמעט 80 מיליון תביעות משפטיות פעילות - פ
NanoQT מודיעה על סגירה ראשונה בהיקף של 14 מיליון דולר במימון באמצעות סדרה A כדי להגדיר מחדש את המחשוב הקוונטי Nanofiber Quantum Technologies, Inc (NanoQT), חברת
Mavenir נבחרה בידי Iridium לספק באופן גלובלי ליבת רשת לשירותי NB-IoT ו-D2D מבוססי לוויין Mavenir, ספקית תשתית הרשתות מבוססת הענן שבונה את ע
Nyxoah מספקת עדכון על הנוכחות המורחבת במזרח התיכון Nyxoah SA (נאסד"ק/יורונקסט בריסל: NYXH) ("Nyxoah"
פסיפיק גרין קיבלה היתר תכנוני לפארק האנרגיה של פורטלנד שיציע הספק של 1 גיגה-וואט / 2.5 גיגה-וואט שעה פסיפיק גרין, חברה גלובלית לאחסון אנרגיה בסוללות, ה
מכון המחקר TII מאבו דאבי בשיתוף עם NVIDIA משיקים את מעבדת המחקר המשותפת הראשונה של NVAITC לבינה מלאכותית ורובוטיקה במזרח התיכון המכון לחדשנות טכנולוגית (TII), זרוע המחקר היישומי
ליין מערכות המטוסים ללא טייס של GA-ASI עובר את 9 מיליון שעות הטיסה פעילות הטיסה המתמשכת של מטוס הקרב השיתופי החדש YFQ
פתרונות ההגנה מפני הונאות מבוססי הבינה המלאכותית של Mavenir זכו בפרס של FutureNet Asia עבור חדשנות בחוויית לקוח חבילת ההונאה והאבטחה המשולבת ביותר של Mavenir מעצי
Zoom Cares מתחייבת להשקיע 10 מיליון בדמוקרטיזציה של חינוך לבינה מלאכותית ולהרחבת הזדמנויות Zoom Cares (נאסד"ק: ZM ) הכריזה על התחייבות בשיעור
זום חשפה את AI Companion 3.0 ב-Zoomtopia 2025 לשיפור השימוש בסוכני בינה מלאכותית ברחבי פלטפורמת Zoom Zoom Communications, Inc. (נאסד"ק: ZM) הציגה עידן
Denodo Platform 9.3 זמינה כעת עם תמיכה פורצת דרך בחדשנות בינה מלאכותית Denodo, חברה מובילה בניהול נתונים, הכריזה על תמיכה
UBiqube משחררת לראשונה בתעשייה את SASE Map עם מבט מקיף על ארכיטקטורת הענן של SASE UBiqube, המובילה העולמית בתיאום ומיכון של תשתיות I
אירוע Blue Magic Netherlands השני נקבע ל-18 בנובמבר General Atomics Aeronautical Systems, Inc (GA-ASI)
חברת Quest Software מכריזה על אסטרטגיית חברה חדשה ופלטפורמת ניהול נתונים מאוחדת להצלחה בתחום הבינה המלאכותית Quest Software, מובילה עולמית בניהול נתונים, אבטחת
Nedap מאפשרת פרטי כניסה לנייד ב-Google Wallet Nedap (AMS:NEDAP), מובילה עולמית בפתרונות אבטחה פי
Space42 ו-Viasat משיקות את Equatys Venture עם גישה לבלוק ספקטרום התדרים המתואם הגדול בעולם עבור שירותי תקשורת גלובליים ישירות למכשירים Space42 (ADX: SPACE42), חברת טכנולוגיית חלל מונעת
הוסף תגובה 
תגובות  ( תגובות)