פאלו אלטו זיהתה פריצה לכ-225 אלף אייפונים

דרוג:

נוזקה במערכת ההפעלה של האייפון גנבה מעל ל-225 אלף חשבונות ויוצרת אפליקציית Utopia בחינם • פאלו אלטו מיוצגת בישראל באופן בלעדי על ידי אינוקום מקבוצת אמן

חברת המחקר הסינית WeipTech, שמורכבת ממשתמשי ומתכנתי אייפון, ניתחה לאחרונה חבילות פריצה לאייפונים שהתקבלו מדיווחים של משתמשים ומצאה מעל ל-225 אלף חשבונות אפל פעילים עם סיסמאות ששמורים על השרת. יחד עם WeipTech פאלו אלטו זיהתה 92 דוגמאות שונות ברחבי העולם למשפחת נוזקות ל-IOS (מערכת ההפעלה של האייפון). לאחר ניתוח הדוגמאות מצאה פאלו אלטו את מטרת מפיץ הנוזקות וכינתה אותה בשם KeyRaider. זוהי גניבת החשבונות הגדולה ביותר באפל שנוצרה מנוזקה.

 

נוזקת KeyRaider מכוונת לאייפונים פרוצים ומופצת דרך מאגרי צד שלישי של תוכנת Cydia (תוכנת פריצה למערכת האייפון) בסין. על פי המסתמן, האיום השפיע על משתמשים מ-18 מדינות: סין, צרפת, רוסיה, יפן, בריטניה, ארה"ב, קנדה, גרמניה, אוסטרליה, איטליה, ספרד, סינגפור, דרום קוריאה וגם ישראל.

 

הנוזקה פועלת כך שהיא מתלבשת על תהליכי המערכת באמצעות מערכת ה- MobileSubstrate, מסגרת הפעילות של תוכנת ה-Cydia, וגונבת שמות משתמשים וסיסמאות של לקוחות אפל, כמו גם את המזהה הייחודי הגלובלי (GUID) של הטלפון, על ידי כך שהיא קולטת את התנועה ב-iTunes שעל המכשיר. הנוזקה גונבת את הרשאות עדכוני ה-Push ואת המפתחות הפרטיים, גונבת ומשתפת את פרטי הרכישות בחנות האפליקציות של אפל, ומשביתה את פונקציות הפריצה המקומית והמרוחקת באייפונים ואייפדים.

 

על פי המסתמן, נוזקת KeyRaider הצליחה לגנוב מעל ל-225 אלף חשבונות אפל פעילים ואלפי הרשאות, מפתחות פרטיים וחשבוניות רכישה. לאחר מכן, הנוזקה מעלה את המידע הגנוב לשרת השליטה והבקרה שלה (C2), שהוא עצמו כולל נקודות תורפה שחושפות את נתוני המשתמשים.

 

מטרת המתקפה היתה לאפשר למשתמשים בעלי שתי חבילות פריצה ספציפיות ל-iOS להוריד אפליצקיות מחנות ה-App Store הרשמית ולבצע רכישות בתוך האפליקציות ללא לשלם בפועל. חבילות פריצה (Jailbreak Tweaks) הן חבילות תוכנה שמאפשרות למשתמשים לבצע פעולות שאינן אפשריות לרוב ב-iOS.

 

שתי חבילות פריצה אלו חוטפות את בקשת הרכישה של האפליקציה, מורידות חשבונות גנובים או רוכשים קבלות מתוך שרת ה-C2, ולאחר מכן מדמות את הפרוטוקול של ה-iTunes בכדי להתחבר לשרת של אפל ולרכוש אפליקציה או פריטים אחרים המבוקשים על ידי המשתמש. לחבילות הפריצה הללו יש מעל ל-20 אלף הורדות, מה שמביא להשערה כי כ-20 אלף גולשים משתמשים ב-225 אלף פרטי המשתמשים הגנובים.

 

חלק מקורבנות גניבת הזהויות דיווחו כי חשבונות אפל הגנובים שלהם הראו היסטורית רכישת אפליקציה לא רגילה. אחרים דיווחו כי הטלפונים שלהם נחסמו בתמורה לכופר. בגדול הנוזקה עובדת בשלושה מישורים שונים:

·         גניבת פרטי חשבונות של Apple (שם משתמש וסיסמה) כמו גם את המזהה הייחודי הגלובלי (GUID) – זאת נעשה על ידי השתלטות על הרשאות הפרטיות SSL של מערכת ה-iTunes של הטלפון. כאשר מערכת ה-App Store מבקשת מהמשתמש להכניס את הסיסמה שלו, המידע נשלח לשרת של אפל באמצעות תעודות SSL. הנוזקה מחפשת את הפעילות הזו וגונבת ממנה את המידע של המשתמשים. לאחר מכן המידע נשלח לשרת ה-C2 של התוקפים.

·         גניבת הרשאות ומפתחות פרטיים המשמשים את שירות התראות ה-Push של אפל – הנוזקה עושה זאת על ידי שהיא יוצרת הרשאות מזוייפות לשליחת התראות Push.

·         מניעה מנעילה של המכשיר הנגוע על ידי סיסמה או ענן ה-iCloud של אפל – במהלך חטיפת המידע הנוגע להתראות שמגיע משרת אפל, הנוזקה גם חוטפת את המידע הנוגע לנעילת המכשיר.

פאלו אלטו מספקת שירותים לזיהוי נוזקת ה-KeyRaider ולאיתור של פרטי משתמשים גנובים.

 

זיהוי הנוזקה

החל מיולי השנה, החלו להתקבל דיווחים כי חלק מחשבונות אפל שומשו ליצירת רכישות לא מורשות או להתקנת אפליקציות של אפל. על ידי בחינת חבילות פריצה, גילתה פאלו אלטו חבילה אחת שאספה מידע ממשתמשים והעלתה אותה לאתר לא לא צפוי. החברה מצאה שלאתר זה יש תורפת החדרת SQL טריוויאלית שמאפשרת גישה לכל הרשומות בבסיס הנתונים Top100.

 

בתוך בסיס הנתונים הזה, נמצאה טבלה בשם Aid שכללה 225,941 רשומות. לכ-20 אלף מתוכן היו שמות משתמשים, סיסמאות ומזהים ייחודים גלובליים בצורת טקסט פשוט, בעוד שאר הרשומות היו מוצפנות. על ידי הנדסה לאחור (Reverse Engineering) של חבילות הפריצה, מצאה החברה חתיכת קוד שמשתמשת בתקן ההצפנה המתקדם AES עם מפתח קבוע של mischa07. כך, ניתן לפענח את שמות המשתמשים והסיסמאות המוצפנות בשימוש במפתח סטטי. באופן זה הצליחה החברה לאשר כי רשימת שמות המשתמשים היו לקוחות אפל פעילים. חוקרי החברה זרקו כמחצית מכל הרשומות בבסיס הנתונים לפני שמנהל האתר זיהה אותם וסגר את השירות. הנתונים פורסמו בהרחבה באתר WeipTech בסוף אוגוסט

 

מניתוח ראשוני של הנתונים עלה כי חבילות הפריצה לא הכילו קוד זדוני שמאפשר לגנוב סיסמאות ולהעלותם לשרת ה-C2. עם זאת, ממידע נוסף עולה כי היתה נוזקה נוספת שאספה פרטים של משתמשים והעלתה אותם לשרת.

 

הפצת נוזקת KeyRaider

על פי בדיקות פאלו אלטו, הנוזקה מתפשטת רק דרך מאגרי Cydia עבור מכשירי iOS פרוצים. מאגר ה-Cydia בשם Weiphone מהווה מאגר פרטי בו משתמשים רשומים יכולים להעלות אליו אפליקציות באופן ישיר ולשתף חבילות פריצה עם משתמשים אחרים. משתמש אחד של המאגר הזה, בשם mischa07 העלה לפחות 15 דוגמאות שונות של נוזקת ה-KeyRaider למאגר הפרטי שלו ב-2015. מאחר ושם הקוד mischa07 נצרב גם בנוזקה כמפתח ההצפנה והפענוח, בחברה מאמינים כי אותו המשתמש הינו יוצר הנוזקה:

 

חלק מהדברים שאותו משתמש העלה, הורדו על ידי עשרות אלפי משתמשים אחרים. אותם אפליקציות וחבילות פריצה כוללות פונקציות כמו Cheat במשחקים, כוונון מערכות והפשטת פרסומות. שתי החבילות הפופולאריות ביותר מאפשרות הורדה של אפליקציות בתשלום מהחנות של אפל באופן חינמי, ושירות שמאפשר ביצוע רכישות בתוך האפליקציות עצמן ללא תשלום.

 

משתמש נוסף בפורום, בשם Bamu, אמנם מחק את מרבית הפוסטים שלו ברגע שהתגלתה הפריצה, אך מבדיקת החברה התגלה כי 77 מהאפליקציות והחבילות שפרסם בעבר התקינו את נוזקת KeyRaider על אלו שהורידו אותם. מסתמן כי בעוד mischa07 היה זה שיצר את הנוזקה ופיתח גרסאות שונות שלה, האפליקציות של bamu כללו אריזה מחדש של אפליקציות קיימות (כמו למשל iFile). מהמידע שנחשף נמצא כי 67% מהחשבונות הגנובים הגיעו מ-bamu.

 

איום נוסף – טלפונים שנתפסים תמורה לכופר

בנוסף לגניבת פרטי משתמשים, לנוזקת KeyRaider יש גם יכולת מובנת לתפוס מכשירי iOS בתמורה לכופר. בשונה מנוזקות שונות שפעלו במערכת של אפל והתבססו על  סיסמאות של ענן ה-iCloud, נוזקת KeyRaider יכולה לבטל לחלוטין כל פעולה של פתיחת המכשיר, גם אם הסיסמה הנכונה הוקלדה. הנוזקה יכולה לשלוח גם הודעת התראה הדורשת כופר באופן ישיר דרך שימוש בהרשאות והמפתחות הפרטיים הגנובים, ללא הצורך לעבור בשרת התראות ה-Push של אפל.  

 

איומים נוספים פוטנציאליים

שימוש בשמות המשתמשים והסיסמאות של אפל יכול להביא למתקפות נוספות. למשל, תוקפים יכולים להשיג שליטה על מכשירים דרך ה-iCloud לגשת ישירות לכל המידע של הודעות ה-iMessage של המשתמשים, אנשי הקשר שלהם, תמונות, מסמכים ואף מיקום, כפי שנעשה בפריצה המתקושרת לשרתי ה-iCloud שהתרחשה ב-2014.

 

בנוסף, תוקפים יכולים להשתמש במידע גנוב כדי לקדם את הדירוג ואת מספר ההורדות של אפליקציות בחנות ה-App Store של אפל בצורה לא חוקית. למעשה, הרבה מקורבנות KeyRaider דיווחו על פעילות הורדת אפליקציות לא רגילה, מה שהוביל לבסוף לחשיפת הנוזקה. מעבר לכך, הורדת אפליקציות בתשלום מהחנות ללא צורך לשלם עליהם, משמעותו שעלות האפליקציה תצא מקורבן התקיפה אך הכסף ילך לאפל ובחלקו גם למפתחים. במקרים מסויימים נמצא כי אותם מפתחים שיתפו פעולה עם התוקפים בחלוקת הכסף.

 

בשנתיים האחרונות רואים עלייה ביכולת התוקפים להשתמש במידע כדי ליצור הודעות ספאם לשירות ה-iMessage של אפל. הודעות כאלו הן קשות יותר לחסימה מסמסים רגילים, כיוון שהן דורשות חיבור אינטרנט בלבד, ולא חיבור סלולרי.

 

הגנה ומניעה

"חשוב לזכור כי נוזקת KeyRaider משפיעה רק על מכשירי אפל פרוצים. כלומר משתמשים שלא פרצו את האייפון או האייפד שלהם נותרים מוגנים," אומר ציון עזרא, סמנכ"ל מכירות באינוקום מקבוצת אמן, המפיצה הבלעדית של פאלו אלטו בישראל. "בנוסף, חשוב לציין כי רק כמחצית מחשבונות הגנובים נחשפו לפני שהתוקפים זיהו את נקודת התורפה, כך שכל משתמש שאי פעם הוריד אפליקציות או חבילות פריצה ממקור Cydia יכול להיות מודבק. פאלו אלטו הוציאה התראה על חתימות DNS מתוך שרת ה-C2 הזדוני. אנחנו נשארים במעקב יחד איתם עבור משתמשים שנחשפו לתקיפה."

 

"באופן כללי, מומלץ לא לפרוץ את מכשירי האפל שלכם אם ניתן להימנע מכך. אין כיום מאגרי Cydia שמריצים בדיקות אבטחה על אפליקציות או חבילות, כך שהשימוש בהם הוא על אחריות המשתמשים בלבד. אנו ממליצים כי כל המשתמשים שפרטיהם נגנבו יחליפו את סיסמת חשבון האפל שלהם לאחר שהצליחו להסיר את הנוזקה ויצרו זיהוי הכולל שני משתנים לפרופיל ה-Apple ID שלהם," הוא מסכם.

 

אודות אינוקום

אינוקום הינה Value Added Distributor המייצגת בישראל חברות IT מובילות ומתמקדת במכירת מוצרי טכנולוגיה חדשניים לשוק ה-IT הישראלי. מאז הקמתה, עובדת אינוקום עם יצרניות מובילות ועם שותפים מקומיים מובילים לביצוע הטמעות מוצלחות של טכנולוגיות IT חדשות.
כחלק מקבוצת אמן, אינוקום מציעה מוצרים ופתרונות לתחומי אבטחת רשתות, אופטימיזצית WAN  ושירותי ניהול מבוססי ענן. יחד עם השותפים העסקיים שלה, אינוקום מציעה את הפתרונות המתאימים ביותר ללקוחותיה, על-מנת שאלה ייהנו מיתרון תחרותי דרך חדשנות טכנולוגית.
למידע נוסף, בקרו באתר החברה, בכתובת  www.innocom.co.il

 


תגיות של המאמר: קבוצת אמן | Aman | אינוקום |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

Bitget Wallet השיקה ערכת כלים למסחר במטבעות ממ כדי להעצים את הסוחרים ב-Solana בעת זינוק בשוק Bitget Wallet, אפליקציית ארנק ה-Web3 ללא משמורת המ
Advanced Communications and Electronic Systems (ACES) ו-Radisys חותמות על מזכר הבנות להאצת החדשנות והפיתוח של רשתות 5G אלחוטיות פתוחות (ORAN) Advanced Communications and Electronic Systems Com
Xsolla מרחיבה את מיצובה המוביל בתחום החידושים ופיתוחי המשחקים ב-APAC, באמצעות שותפות אסטרטגיות חדשות עם העיר בוסאן וחברת BDAN ‏Xsolla, חברה גלובלית למסחור של משחקי וידאו, מטרו
Recursion ו- Exscientia, שתי מובילות בתחום גילוי התרופות בתחום הבינה המלאכותית, התאחדו באופן רשמי כדי לקדם את התיעוש של גילוי תרופות השילוב העסקי של שתי חברות גילוי ופיתוח תרופות מבוס
Microsoft Fabric ישנה את איכות הנתונים והשימושיות בכל רחבי הארגון Quantexa, ספקית מובילה בפתרונות מודיעין לקבלת החלט
Anaqua תירכש על ידי Nordic Capital, משקיעה פרטית מובילה בתחום הטכנולוגיה והתשלומים Anaqua, ספקית מובילה של פתרונות ושירותים טכנולוגיי
Tū Ātea ו-Mavenir משתפות פעולה כדי להיות לחלוצות בעתיד הרשתות המשתמשות בנכסי הספקטרום המאורי Mavenir, ספקית תשתיות הרשת בענן הבונה את עתיד הרשת
Cloudera תרכוש את הפלטפורמה של Octopai כדי לספק נתונים מהימנים לאורך כל אחוזת הנתונים בענן ההיברידי Cloudera, הפלטפורמה ההיברידית האמיתית היחידה עבור
Cloudera חושפת סייען בינה מלאכותית חדש שיעזור לשפר את היעילות עבור העוסקים בנתונים Cloudera, הפלטפורמה ההיברידית האמיתית היחידה עבור
Bitget Wallet השיקה תוכנית תמיכה למיני אפליקציות ב-Telegram בהיקף של 20 מיליון דולר בשיתוף עם Foresight Ventures Bitget Wallet, אפליקציית ארנק ה-Web3 ללא משמורת המ
חברת F5 ממנפת את NVIDIA BlueField-3 DPUs כדי להאיץ את אספקת יישומי AI עבור ספקי שירותים וארגונים גדולים חברת F5 ממנפת את NVIDIA BlueField-3 DPUs כדי להאיץ
Xsolla השיקה את הדו"ח לסתיו 2024 על עתיד הגיימינג במכשירים ניידים ופיתוח משחקים: ניתוח נתונים אחרון ומגמות מתפתחות Xsolla, חברה עולמית למסחר במשחקי וידאו, גאה להכריז
דאק קריק מקימה מרכז מצוינות בפולין כדי לשפר את התמיכה הגלובלית בלקוחות Duck Creek Technologies (דאק קריק טכנולוגיות), ספק
11x גייסה 50 מיליון דולר עם סדרה B בהובלת Andreessen Horowitz כדי להאיץ את עידן העובדים הדיגיטליים 11x, המובילה בתחום העובדים הדיגיטליים מונעי הבינה
Synchronoss מחדשת את השותפות עם מפעילה צרפתית מובילה Synchronoss Technologies, Inc. ("Synchronoss" או
Hakeem של Walee Financial Services זכה בפרס המצוינות של פסטיבל הפינטק בסינגפור עבור מוצרי פינטק פורצי דרך Walee Financial Services מכריזה בגאווה כי מוצר הפי
Lantronix מאיצה את מובילות ה-IoT שלה עם רכישה אסטרטגית של פורטפוליו ה-IoT של NetComm Enterprise מבית DZS Lantronix Inc. לנטרוניקס (נאסד"ק: LTRX), ספקית גלו
שימוש ב-Milbros UV Graphs משפר את הבטיחות וההחזרה בניקוי מכלים כימיים Milbros, פתרון של Veson Nautical ומסד הנתונים האמי
Bitget רושמת את Swell (SWELL) ב-Launchpool, Poolx ו-Spot עם 23,440,000 אסימונים כפרסים Bitget, בורסת המטבעות הקריפטוגרפים וחברת ה-Web3 המ
MLL Legal בוחרת בפלטפורמת משרדי עורכי הדין AQX של Anaqua כדי לשפר את ניהול הקניין הרוחני ולהניע יעילות תפעולית Anaqua, הספקית המובילה של טכנולוגיית ניהול חדשנות
הוסף תגובה 
תגובות  ( תגובות)