iPhone & iPad

В iOS 8 обнаружена опасная уязвимость, позволяющая хакерам направлять пользователей на фишинговые сайты

Разработчик антивирусных решений FireEye обнаружил в iOS уязвимость безопасности, которая позволяет злоумышленникам проводить фишинговые атаки на пользователей iPhone и iPad. Apple, как сообщается, лишь частично устранила ошибку в iOS 8.1.3.

image-mask-1

Исследователи компании FireEye объявили об обнаруженной уязвимости в пятницу. В распространенном сообщении говорится, что Masque Attack II позволяет атакующему, используя зловредное ПО, получать персональные данные пользователи. В частности, злоумышленник может перехватить банковские реквизиты, если человек откроет ссылку, ведущую на фишинговую страницу.

Согласно заявлению FireEye, уязвимость существует из-за того, что iOS не осуществляет принудительную проверку сертификатов приложений с одинаковым bundle-идентификатором. Неподписанный код устанавливается на iOS через корпоративные профили управления, которые изначально были предназначены для установки собственных приложений предприятий в обход App Store.

Как рассказали эксперты, Apple частично закрыла уязвимость в iOS 8.1.3. Однако вторая часть атаки «URL Scheme» по-прежнему доступна для злоумышленников. Этот вид атаки позволяет хакерам имитировать в операционной системе ссылочные идентификаторы других приложений. В результате, когда пользователь переходит по ссылке, на устройстве открывается альтернативное приложение. К примеру, злоумышленник может отправить ссылку для входа в онлайн-банк, пройдя по которой пользователь попадет на фишинговую страницу.

Пример атаки Masque Attack II эксперты FireEye продемонстрировали на видео:

Как уже говорилось, уязвимость закрыта в iOS 8.1.3 лишь частично. При этом пользователи более ранних версий операционной системы (таковых около 30%) находятся в особой зоне риска. Эксперты рекомендуют пользователям iPhone и iPad воздержаться от установки приложений, ссылки на которые получены из сомнительных источников, и пользоваться для этого официальным магазином App Store, а также не реагировать на предложения установить какое-либо ПО на всплывающих закладках сторонних ресурсов.

11 комментариев

Написать комментарий