Apple заблокувала заражені WireLurker додатка, але не сам вірус
Днями громадськість була розбурхана новиною про люто китайському вірус WireLurker, який примудрявся заражати iPhone без джейлбрейка, попередньо напакостивши в OS X. Особливої шкоди ЗА хуліганську поки не завдала, якщо не вважати 400 тис. заражених Mac в Китаї, хоча неприємний прецедент. Apple досить оперативно відреагувала на загрозу, заблокувавши запуск відомих інфікованих додатків на комп'ютерах користувачів, але судячи по реакції фахівців, компанія намагається боротися лише з наслідками, а не з причиною.
Нагадаю, що поки WireLurker вирує тільки в Китаї, влаштувавшись в місцевих аналог App Store, через які часто поширюється піратський софт. Одним з найбільш помітних і заражених виявився Maiyadi App Store. Завантаживши з нього злоблива, користувач непомітно для себе заражає комп'ютер, після чого при підключенні iPhone до USB вірус потрапляє на смартфон і починає там творити неподобне. Якщо є джейлбрейк, тоді він стежить за фінансовими додатками користувача начебто AliPay. Якщо джейлбрека немає, WireLurker встановлює фальшиве, але безпечне додаток-комікс, демонструючи реальні можливості вірусу у виконанні практично будь-якого коду на нібито захищеному смартфоні.
Apple оновила сертифікати безпеки, які використовує WireLurker для свого впровадження, і таким чином заблокувала понад 400 інфікованих додатків, які допомагали у поширенні вірусу. Про це заявив офіційний представник компанії, додавши, що Apple рекомендує завантажувати і встановлювати додатки тільки з довірених джерел (читай з фірмового App Store).
У свою чергу фахівець з безпеки Джонатан Здзиарски написав у Palo Alto Networks, що поки рано радіти і справжні проблеми ще не починалися:
Основна проблема не в самому WireLurker. В поточному стані вірус лише у своєму необразливому «дитячому» віці і по більшій частині складається з набору сценаріїв, списків і двійкового коду, бездарно скручених між собою «скотчем» і легко виявляються в системі. Реальну ж небезпека являє собою механізм взаємодії й утворення пари iOS-пристроїв і Mac, в межах якого можна реалізувати більш витончені варіанти застосування відкритого китайцями методу...
WireLurker був явно написаний дилетантами, але професійні і досвідчені хакери зломщики можуть взяти цей метод на озброєння і легко створити значно більш ефективне і небезпечне.
Джонатан Здзиарски, фахівець з комп'ютерної безпеки
За словами Здзиарски, корінь проблеми виростає з тих великих можливостей, що є у сполучених Mac і iOS-гаджета. Як тільки ви з'єднали, припустимо, MacBook і iPhone, погодившись з тим, що це довірені пристрою і натиснувши в діалоговому вікні «Так», ви фактично дали Mac повну свободу в тому, що він може творити в iOS. Одна справа, коли шкідливий код щось намагається зробити в рамках досить закритою мобільної платформи і зовсім інша, коли він бушує в значно більш потужною і відкритою OS X.
Автоматичного вирішення проблеми поки що немає. Ви ж знаєте, що найголовніший вірус - це сам користувач, і ніякий антивірус не рятує від людської дурості або незнання. Але деякі дії Apple все ж може зробити.
Зокрема, Здзиарски рекомендує зробити попередження про встановлення непідписаного ЗА більш помітними. Зараз лише вискакує маленьке діалогове вікно з дрібним текстом, який попереджає про те, що ви встановлюєте небезпечне додаток, яке не було перевірено в Apple. Думаєте хтось читає? Людина тисне «ОК», мовляв, ознайомлений, і запускає програму. А то і зовсім не читає, що ж там написано і натискає на все, що натискається, лише б швидше запустити.
Другий важливий момент - це відключення «Корпоративного режиму» (Enterprise Mode) за замовчуванням, адже ним користується дуже маленька частина людей, які без проблем зможуть активувати потрібну опцію. Переважній більшості користувачів жодного разу в житті не буде потрібно встановлювати спеціалізоване корпоративне ПО на свій пристрій.
Третій крок до підвищення безпеки платформи - це запит прав у користувача на установку на iOS-пристрій, як це реалізовано, наприклад, при запиті додатків на доступ до контактів або ж системі геолокації. За замовчуванням таке право має бути лише у iTunes і Xcode, повз які він сам по собі не проповзе.
Спеціаліст і запропонував ряд технічно більш складних кроків, але ті, що описані вище, можуть бути реалізовані Apple швидко і без особливої напруги сил і ресурсів, при цьому в рази підвищити безпеку iOS і підготуватися до потенційної атаці більш професійних клонів WireLurker. [9To5Mac]