Die bisher bekannten Exodus Spyware, die geplagt Google Play Store bzw. Android-Geräte, Es wird nun mit einer Version für iOS ausgestattet.
Laut Lookout Forscher, das iOS Gegenstück ist weniger anspruchsvoll als die Android-Version, und wurde in dem Apple App Store nicht erkannt. Dennoch, Dieser Fall unterstreicht den Crack Zustand von Apples Privatsphäre.
Treffen Sie Exodus Spyware: von Android auf iOS
Lookout Security Forscher stießen auf „ein ausgeklügeltes Android surveillanceware Mittel". Das Spyware-Tool wurde höchstwahrscheinlich für den rechtmäßigen Intercept Markt geschaffen, und es wird mindestens fünf Jahre in einem Entwicklungszustand seit, mit drei Stufen der Ausführung.
Die erste Stufe ist eine kleine dropper, dann kommt die zweite große Nutzlast mehrere Binärdateien enthält, die die meisten der Überwachungsfähigkeiten haben. Die abschließende dritte Stufe verwendet die sogenannte DirtyCOW ausnutzen, CVE-2016-5195, zu erhalten root.
Es sollte beachtet werden, dass die Sicherheit Forscher von der Sicherheit ohne Grenzen erkannt 25 verschiedene Exodus-infizierten Apps, die im Play Store in den letzten zwei Jahren hochgeladen worden.
DirtyCow a.k.a. CVE-2016-5195
Wussten Sie, dass der Fehler fast zehn Jahre lang im Kernel als auch Linux-Distributionen lokalisiert wurde. Die Sicherheitslücke könnte Angreifer ermöglichen, Root-Rechte über einen Race-Bedingung Fehler zu erhalten und dann Schreibzugriff gewinnen zu Nur-Lese-Speicher.
Die Sicherheitslücke wurde sowohl in der Kernel und Linux im Oktober gepatcht, 2016. Jedoch, Android-Geräte hatten für eine Korrektur warten, und leider gibt es Exploit-Kits, das Problem in der freien Natur nutzen.
Exodus iOS Variant: Ein paar Details
Die Analyse dieser Proben Android führte zur Entdeckung von Infrastruktur, die mehrere Proben von einem iOS-Port enthalten, Achtung sagte in ihrem Bericht. Der Exodus Spyware hat mit Hilfe von Phishing-Webseiten verbreitet, die italienische und Turkmenistani Mobilfunkbetreiber imitiert.
Wie haben Exodus Angreifer iOS Nutzer außerhalb Apples App Store liefern?
Sie nutzten die Enterprise Provisioning-System des Unternehmens:
Das Apple Developer Enterprise Programm soll Organisationen ermöglichen, proprietäre zu verteilen, Inhouse-Anwendungen, um ihre Mitarbeiter, ohne dass die iOS App Store verwenden,. Ein Unternehmen kann den Zugang zu diesem Programm nur, sofern sie Anforderungen von Apple festgelegten erfüllen. Es ist nicht üblich, dieses Programm zu verwenden Malware zu verbreiten, obwohl es Vergangenheit Fälle, in denen haben so Malware-Autoren getan.
Die Phishing-Seiten, die auf iOS-Benutzer in diesen Kampagnen eingesetzt wurden, enthielten Links zu einer „Verteilung manifestieren“Die untergebrachten Metadaten aus den Anwendungsnamen, Version, Symbol, und URL für die IPA-Datei.
Werden außerhalb des App Store verteilt, ein IPA-Paket muss ein mobiles Provisioning-Profil mit einem Unternehmens-Zertifikat enthalten. All diese Pakete verwendeten Provisioning-Profile mit Verteilung Zertifikaten im Zusammenhang mit der Firma Connexxa S.r.l.
Wie für seine Fähigkeiten, die iOS-Version von Exodus wurde auf mehrere Fähigkeiten wie das Sammeln von Kontakten begrenzt, Fotos, Videos, Audio-Aufnahmen, GPS-Informationen, und Vorrichtungsort. Die Spyware könnte auch On-Demand-Audio-Aufzeichnung durchführen, aber es war nicht so anspruchsvoll wie sein Android-Pendant, die Root-Kontrolle der infizierten Geräte erhalten könnte.
Dennoch, es gibt eine Menge von Ähnlichkeiten zwischen der iOS- und Android-Versionen Exodus. Es ist interessant festzustellen, dass die iOS-Variante geerntet Daten auf demselben Exfiltration-Server hochgeladen und verwendet, um ein ähnliches Protokoll.
Die Sicherheitsfirma nahm Kontakt mit Apple und teilten ihre Entdeckungen, und Apple widerrufen, die betroffenen Zertifikate. Infolge, keine neuen Instanzen dieser App kann auf iOS-Geräten und bestehende Anlagen können ausgeführt werden, nicht mehr installiert werden, Die Forscher stellten fest.