سوء‌استفاده از پروتکل مدیریت در سامانه‌عامل iOS و انتشار بدافزار

با ارائه نسخه‌ی ۹ از سامانه‌عامل iOS اپل در تلاش است تا کار نفوذگران برای فریب کاربران و نصب نرم‌افزارهای مخرب در دستگاه‌های آن‌ها با استفاده از گواهی‌نامه‌های تجاری را سخت‌تر کند. با این حال، این شرکت هنوز دری را باز گذاشته تا بتوان از آن بهره‌برداری کرد؛ پروتکلی که به وسیله محصولات مدیریت دستگاه‌های تلفن همراه استفاده می‌شود.
در سخنرانی‌ای که در کنفرانس امنیتی بلک‌هت آسیا روز جمعه صورت گرفته است، محققان مؤسسه فناوری‌های نرم‌فزاری Check Point نشان می‌دهند که ارتباط میان محصولات MDM و دستگاه‌های iOS مشکوک به حمله مرد میانی است و می‌توان با نصب بدافزار روی دستگاه‌های جیل‌برک نشده با تعامل اندکی با کاربر دستگاه را مورد حمله قرار داد.
کنترل شدید اپل روی فروشگاه نرم‌افزاری iOS کار را سخت می‌کند، اما برای مهاجمانی که دستگاه‌های iOS را با بدافزار آلوده می‌کنند، غیرممکن نیست.
رایج‌ترین راه برای نفوذگران جهت آلوده کردن دستگاه‌های جیل‌برک نشده iOS این است که بدافزار را از طریق گواهی‌نامه‌های توسعه تجاری به سرقت‌رفته نصب کنند.
این گواهی‌نامه‌ها با استفاده از کد امضاء شده‌اند که از بستر توسعه تجاری اپل اخذ شده و به شرکت‌ها اجازه می‌دهد تا نرم‌افزارهای داخلی را برای دستگاه‌های iOS بدون انتشار آن‌ها در بازار نرم‌افزاری عمومی منتشر کنند.
در نسخه‌های قبلی iOS، استقرار یک نرم‌افزار که با گواهی‌نامه تجاری امضاء شده بود نیاز داشت تا کاربر پیوندی را باز کند که به میزبان نرم‌افزار متصل بود و با اعتماد خود را به توسعه دهنده اعلام می‌داشت و سپس موافقت خود را با نصب نرم‌افزار اعلام می‌کرد. این روند، نیاز به تعامل با کاربر داشت، اما این کار با فرایندهای مهندسی اجتماعی که در آن مهاجمان کاربران را با تشویق به طی مراحل لازم فریب می‌دادند آسان شده بود.
به گفته Michael Shaulov رئیس بخش مدیریت محصول دستگاه‌های همراه در شرکت Check Point، اپل تصمیم گرفته است که این خطر را در iOS ۹ با اضافه کردن مراحل بیشتر در فرایند استقرار برنامه‌های تجاری رفع کند.
اما این‌جا یک راه گریز به جای گذاشته است؛ روشی که در آن محصولات MDM نرم‌افزار را در دستگاه‌های iOS نصب می‌کنند.
شرکت‌ها از محصولات MDM برای کنترل، پیکربندی، تأمین امنیت و در صورت لزوم، پاک کردن اطلاعات دستگاه‌های موبایل استفاده می‌کنند. این محصولات علاوه بر این شامل بازارهای نرم‌افزارهای شخصی می‌شوند که به شرکت‌ها اجازه می‌دهند تا به آسانی نرم‌افزارها را در دستگاه‌های کارکنان خود قرار دهند.
محققان مرکز Check Point دریافته‌اند که پروتکل MDM که در iOS قرار دارد در برابر حمله مرد میانی مشکوک به آسیب‌پذیری است و می‌تواند برای نصب بدافزارها بر روی دستگاه‌هایی که جیل‌برک نشده‌اند استفاده شود.
این حمله تنها علیه دستگاه‌هایی که در یک کارگزار MDM ثبت شده‌اند، مؤثر است اما بسیاری از دستگاه‌های تلفن همراه در یک محیط سازمانی استفاده می‌شوند.
سپس،‌مهاجم نیاز دارد تا کاربران این دستگاه‌ها را برای نصب این بدافزارها فریب دهد. این کار نمی‌تواند سخت باشد، زیرا که بسیاری از کاربران تجاری از آن برای نصب نمایه‌های شخصی استفاده می‌کنند. این امکان معمولاً برای استقرار VPN، وای‌فای، رایانامه، تقویم و دیگر تنظیمات استفاده می‌شوند.
این نمایه پیکربندی مخرب که به وسیله مهاجم توزیع شده است می‌تواند یک گواهی‌نامه ریشه گول‌زننده را نصب کند و یک پروکسی (پیش‌کار) را برای اتصال اینترنت دستگاه پیکربندی کند. این کار می‌تواند موجب شود تا ترافیک دستگاه از طریق یک کارگزاری که به وسیله یک مهاجم کنترل می‌شود، رهگیری شده و یک حمله مرد میانی در آن صورت گیرد.
این نفوذگر پس از آن می‌تواند خود را به جای MDM جای بزند و یک نرم‌افزار مخرب را که به وسیله گواهینامه تجاری سرقت شده، امضاء شده است در دستگاه نصب کند. در یک حمله هدفمند، این نرم‌افزار می‌تواند طوری دستکاری شود که خود را به عنوان برنامه‌ای معرفی کند که کاربر انتظار آن را دارد.
این دستگاه یک تأییدیه نشان می‌دهد که از کاربر می‌خواهد تا اگر او موافق است نرم‌افزار در دستگاه او نصب شود، اما حتی اگر او آن را رد کند، مهاجم می‌تواند بارها و بارها این پیام را برای او ارسال کند.
Shaulov می‌گوید که این کار اساساً موجب خواهد شد که کاربر نتواند هیچ کار دیگری با دستگاه انجام دهد، مگر اینکه با نصب این نرم‌افزار موافقت کند.
به دلیل اینکه این روش محدودیت‌های جدید iOS را برای استقرار نرم‌افزارهای تجاری دور می‌زند، محققان Check Point این آسیب‌پذیری را کناره‌رو (Sidestepper) نامگذاری کرده‌اند.
سوء‌استفاده از گواهی‌نامه‌های تجاری چندان غیرمعمول نیست. بر اساس گفته‌های Shaulov‌ یک بررسی که بر روی حدود ۵۰۰۰ هزار دستگاه iOS که متعلق به مشتریان Check Point بوده‌اند، صورت گرفته است -شامل ۱۰۰ شرکت- نشان می‌دهد که ۳۰۰ نرم‌افزار از این نوع با استفاده از ۱۵۰ گواهی‌نامه تجاری امضاء شده، نصب شد‌ه‌اند. بسیاری از این گواهی‌نامه‌ها به وسیله اپل در چین صادر شده‌اند و برای امضاء نسخه‌های تقلبی از نرم‌افزارهای قانونی استفاده می‌شود، اما دست کم دو برنامه هستند که بخشی از خانواده بدافزارهای شناخته شده می‌باشند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.