Видео: unboxing turtles slime surprise toys learn colors (Септември 2024)
По време на атака Main-in-the Middle, някой отвлича връзката ви със защитен сайт, получавайки всичко изпратено от която и да е от страните и го предава заедно, вероятно с злонамерени промени. Но MITM атаката приключва, когато прекъснете връзката с мрежата. Вече не е така, казва Yair Amit от Skycure (момчетата, които хакнаха моя iPhone). Явно са открили уязвимост, която може да промени трайно поведението на приложенията в iOS.
Запознайте се с HTTP Request Hijacking Attack
Skycure го нарича HTTP Request Hijacking Attack и то започва, каза Амит, с MITM атака. Докато сте свързани със злонамерената мрежа, нападателят следи вашия трафик и търси приложения, извличащи информация от сървърите. Тогава нападателят прихваща заявката и изпраща обратно 304 HTTP код на състоянието на приложението. Това е постоянна грешка при пренасочване и казва на браузъра, че търсеният сървър е преместен за постоянно на друго място.
Всички уязвими приложения, обясни Amit, ще кешират промяната, направена от кода 301, и ще продължат да се свързват с пренасочения сървър за обозримо бъдеще. При неблагоприятен сценарий това е чудесно за потребителите, тъй като означава по-бързи и надеждни връзки. Но когато нападателят изпрати грешката си 301, той принуждава приложението да започне да зарежда информация от своя сървър.
Последиците са интересни. Амит посочи, че много приложения за новини и акции нямат URL ленти, така че на потребителя не е ясно откъде идва информацията. В случай на компрометирано приложение за новини, Амит каза, „сега четете фалшиви новини от нападателя“.
Подобна атака може да бъде фина, може би подхранване на фалшиви истории или неточна информация за запасите, за да се манипулира пазара. Или нападател може да огледално да огледа цялата информация от сървъра на приложението за новини, но да инжектира злонамерени връзки за фишинг или по-лошо.
Широко разпространен, но неизползван
Най-страшното нещо, което ми каза Амит, не беше какво може да направи атаката, а колко широко разпространено беше. Тъй като е толкова просто, изглежда, че са засегнати хиляди приложения. Толкова много хора, че Skycure казва, че единственият начин за отговорно разкриване на уязвимостта е единствено да се опише публично, без да се разкриват имената на засегнатите приложения.
Добрата новина е, че Амит казва, че екипът му не е виждал тази конкретна атака, използвана в дивата природа. Отражението, разбира се, е, че разработчиците трябва да се движат бързо, за да актуализират своите приложения и да разрешат проблема, преди някой да започне да го използва. Всички разработчици там трябва да се насочат към Skycure за предложения как да подобрят приложенията си.
Да останеш в безопасност
Най-доброто нещо, което потребителите могат да направят, е да актуализират приложенията си, тъй като има вероятност разработчиците да започнат да прилагат корекции в уязвимите приложения. Ако смятате, че вече сте били засегнати от тази конкретна атака, трябва да деинсталирате заподозреното приложение и след това да го инсталирате отново от App Store.
Избягването на тази атака в бъдеще е по-лесно на теория, отколкото е на практика. "Винаги е по-безопасно да не се свързваме към WiFi мрежи, но в края на деня винаги го правим", каза Амит. Понякога дори не е въпрос на удобство, тъй като телефоните могат да се свързват с Wi-Fi мрежи без действия на потребителя. Amit обясни, казвайки, че клиентите на AT&T автоматично се свързват към AT&T мрежи. Той също така посочи, че ако един нападател използва злонамерени профили, както Skycure направи, когато хакна моя iPhone, дори SSL връзка не може да спре атаката.
Според Skycure, натискът е на разработчиците да изграждат своите приложения, за да избегнат проблема на първо място. И да се надяваме скоро, тъй като информацията за уязвимостта вече е налична.
