Videó: ASICS Kiko Kostadinov Gel-Sokat infinity (November 2024)
A középső fő támadás során valaki eltéríti a biztonságos webhelyhez fűződő kapcsolatot, fogadva mindent, amelyet bármelyik fél küldött, és átadja, valószínűleg rosszindulatú változásokkal. De egy MITM támadás véget ér, amikor leválasztja a hálózatot. Már nem mondja Yair Amit a Skycure-tól (azok a srácok, akik felcsaptak az iPhone-jomat). Nyilvánvalóan felfedezték a biztonsági rést, amely véglegesen megváltoztathatja az alkalmazások viselkedését az iOS rendszerben.
Ismerje meg a HTTP kérelem-eltérítés támadást
A Skycure egy HTTP Request Hijacking Attacknek hívja, és kezdődik - mondta Amit - egy MITM támadással. Miközben csatlakozik a rosszindulatú hálózathoz, a támadó figyeli a forgalmat és az alkalmazásokat keresi az információk kiszolgálóktól beolvasására. Ezután a támadó elfogja a kérelmet, és 301 HTTP állapotkódot küld vissza az alkalmazáshoz. Ez egy állandó átirányítási hiba, és azt jelzi a böngészőnek, hogy a keresett szervert véglegesen áthelyezték egy másik helyre.
Az összes sebezhető alkalmazás - magyarázza Amit - gyorsítótárba helyezi a 301-es kód által végrehajtott változást, és a belátható jövőben továbbra is csatlakozik az átirányított szerverhez. Nem rosszindulatú esetben ez nagyszerű a felhasználók számára, mivel gyorsabb és megbízhatóbb kapcsolatokat jelent. De amikor a támadó elküldi a 301-es hibáját, arra kényszeríti az alkalmazást, hogy kezdje el információ betöltését a szerveréről.
A következmények érdekesek. Amit rámutatott, hogy sok hír- és részvényalkalmazás nem rendelkezik URL-sávokkal, tehát a felhasználó számára nem egyértelmű, hogy honnan származik az információ. Egy veszélyeztetett hír alkalmazás esetén Amit azt mondta: "Most hamis híreket olvas a támadótól".
Az ilyen támadás finom lehet, esetleg hamis történeteket táplálhat vagy pontatlan részvényinformációkat adhat a piac manipulálásához. Vagy a támadó elképzelhetően tükrözi az összes információt a híralkalmazás szerveréről, de rosszindulatú linkeket fecskendez be adathalászat céljából, vagy ami még rosszabb.
Elterjedt, de fel nem használt
Amit a legfélelmetesebb volt, amit Amit mondta, nem az volt, amit a támadás meg tudott csinálni, hanem az, hogy milyen széles körben elterjedt. Mivel ez annyira egyszerű, úgy tűnik, hogy ezrek alkalmazásokat érintnek. Sokan azt mondják, hogy a Skycure szerint a sebezhetőség felelõsségteljes felfedésének egyetlen módja az volt, hogy nyilvánosan leírják, anélkül, hogy felfednék az érintett alkalmazások nevét.
A jó hír az, hogy Amit szerint csapata nem látta ezt a támadást a vadonban. Ennek természetesen az a következménye, hogy a fejlesztőknek gyorsan lépniük kell az alkalmazások frissítésére és a probléma megoldására, mielőtt valaki elkezdené használni. Bármelyik fejlesztőnek oda kell fordulnia a Skycure-hoz, ahol javaslatokat kínál az alkalmazások fejlesztésére.
Biztonságban marad
A legjobb, amit a felhasználók megtehetnek, hogy naprakészen tartják alkalmazásukat, mivel a fejlesztők valószínűleg elkezdenek javításokat végrehajtani az érzékeny alkalmazások között. Ha úgy gondolja, hogy ez a támadás már megütötte, akkor távolítsa el a gyanúsított alkalmazást, majd telepítse újra az App Store-ból.
Elméletileg könnyebb elkerülni ezt a támadást a jövőben, mint a gyakorlatban. "Mindig biztonságosabb, ha nem csatlakozunk a WiFi hálózatokhoz, de a nap végén mindig megtesszük" - mondta Amit. Időnként ez még a kényelem kérdése sem, mivel a telefonok felhasználói műveletek nélkül csatlakozhatnak a Wi-Fi hálózathoz. Amit kifejtette, mondván, hogy az AT&T ügyfelek automatikusan csatlakoznak az AT&T hálózatokhoz. Azt is rámutatott, hogy ha a támadó rosszindulatú profilokat használ, mint ahogyan a Skycure tette, amikor megtámadták az iPhone-ját, akkor még az SSL-kapcsolat sem tudta megállítani a támadást.
A Skycure szerint a fejlesztőknek az a feladata, hogy az alkalmazásuk elkészítésére elsősorban a probléma elkerülése érdekében készüljenek. És remélhetőleg hamarosan, mivel a biztonsági résről szóló információk már rendelkezésre állnak.
