Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

iOS töltőhack

2013.08.02. 13:50 | buherator | Szólj hozzá!

Az idei BlackHat egyik lenagyobb médiavisszhangot kiváltó előadása az iOS eszközök töltőn keresztüli 0wnolása volt - az előadás után kikerültek a slide-ok, illetve a kapcsolódó cikk is, lássuk tehát, hogyan működik ez a támadás!

A módszer szépségét az adja, hogy a sérülékenységet felfedező Georgia Tech-es kutatók nem valamiféle alacsony-szintű feketemágiát használtak, hanem az iOS (néha túlzottan széles lehetőségeket adó) kényelmi funkcióit, valamint az Apple fejlesztők számára kialakított folyamatainak hiányosságait kötötték láncba és hozták létre a Mactans nevű, töltőnek látszó eszközt (valójában egy kis beágyazott számítógép, de az iOS interfésze számára ez mindegy), amely képes a legtöbb csatlakoztatott készüléket uralma alá hajtani. A kihasznált problémák/lehjetőségek listája a következő (itt a kliens az iOS-t futtató kütyü, a csatlakozó eszköz pedig a hoszt):

  1. Az iOS készülékek számára minden fizikailag csatlakoztatott hoszt alapértelmezetten megbízható
  2. A felhasználó nem kap tájékoztatást arról, ha a csatlakoztatott hoszt lekérdezéseket vagy módosításokat hajt végre a kliensen
  3. A telepített alkalmazások elrejthetők a felhasználó elől ugyanazzal a módszerrel, ahogy az Apple is elrejti a saját demó/teszt alkalmazásait a legyártott készülékeken
  4. A csatlakoztatott hoszt a felhasználó tudta és beleegyezése nélkül indíthat el alkalmazásokat a kliensen
  5. Az Apple Provisioning Portalon automatizáltan regisztrálhatók új készülékek

Mindezek ismeretében a támadás a következő módon zajlik:

  • A felhasználó feltolja a kütyüjét egy Mactans töltőre
  • Az 1. pont miatt a Mactans képes lekérni a kütyü egyedi azonosítóját, a UDID-t
  • A Mactans a beépített WiFi/3G modemsegítségéval kapcsolódik az Apple Provisioning Portal-jához, és az UDID-t felhasználva regisztrálja a készüléket (az 5. pont miatt ezt egy szoftver is megteheti). Ekkor a Mactans szert tesz egy Apple által aláírt tanúsítványra, ami lehetővé teszi számára, hogy módosítsa a kliens állapotát - pl. új alkalmazásokat telepítsen és elindítsa azokat
  • A Mactans telepíti a kapott provisioning profile-t a készülékre
  • A Mactans tetszőleges alkalmazást telepíthet a kliensre, melyet el is indíthat. 

Ennél a pontnál felhasználó nem vett észre semmit, a támadó lehetőségei pedig szerteágazóak (2., 3., 4. pontok):

Egyrészt a 3. pont miatt a Mactans pl. indíthat egy rejtett alkalmazást a háttérben, amely bizonyos időközönként képernyőképet készít, és így megvalósít egy érintőképernyős billentyűzetfigyelőt. Az alkalmazás elrejtéséhez mindössze egy "hidden" tartalmú node-ot kell elhelyezni az alkalmazás Info.plist fájljában, az ilyen alkalmazások sem a kliens menüjében, sem a folyamatkezelőben nem jelennek meg. 

Mindezt továbbgondolva láthatjuk, hogy a Mactans egyszerűen kikerüli az Apple szoftver-ellenőrzési folyamatát, így egyszerűen telepíthetünk olyan alkalmazásokat, melyek az AppStore-ba soha nem kerülhettek volna be, mindezt jalibreak nélkül. A legitim felhasználási módok mellett egy támadó könnyen telepíthet hátsú kaput biztosító alkalmazásokat, vagy jailbreakelheti a készüléket. 

ios_trust.png

A támadás kihasználhatóságát csökkenti, ha a kliens passcode-dal védett, ilyen esetben a felhasználónak fel kell oldania a zárat, miközben a készüléke a Mactans-hoz kapcsolódik. Az Apple ezen kívül legfeljebb 100 készülékre ad provisioning jogot egy fejlesztőnek, így nagy mennyiségű kliens megfertőzéséhez több fejlesztői hozzáférésre vna szükség. Végleges megoldásként a bétában elérhető iOS 7 már beleegyezést kér a felhasználótól, ha egy addig ismeretlen hosz próbál csatlakozni az eszközhöz.

Címkék: apple töltő blackhat ios mactans

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.