פירצת אבטחה ב-iOS מאפשרת להקליט את מחוות המגע של המשתמשים

ימים ספורים חלפו מאז שחררה אפל עדכון אבטחה שנועד לטפל בבעיית ה-SSL, וכעת מתגלה פירצת אבטחה חמורה, המאפשרת לאפליקציות זדוניות לאסוף מידע אודות הקשות המשתמשים על מסך האייפון או האייפד.

מקור: יח"צ, עיבוד תמונה

מקור: יח”צ, עיבוד תמונה

ימים ספורים לאחר שאפל תיקנה את תקלת ה-SSL החמורה שהתגלתה ב-iOS7 על ידי שחרור עדכון תוכנה 7.0.6 למכשירי האייפון והאייפד, מומחי אבטחה גילו פירצת אבטחה נוספת, המאפשרת לאפליקציות להקליט את כל מחוות המגע שהמשתמש מבצע על גבי המסך, כולל לחיצות על כפתורי מגע במכשיר. מומחים מחברת האבטחה FireEye הצליחו להוכיח לכאורה כי הפירצה, אשר הייתה נגישה עד כה במכשירים אשר עברו תהליך Jailbreak בלבד, אפשרית גם במכשירים חדשים, אשר לא עברו שום תהליך Jailbreak ועליכם מותקנת הגירסא האחרונה של מערכת ההפעלה iOS.

הפתרון הזמני: לסגור אפליקציות שרצות ברקע

מאחר ומסך המגע הוא ממשק הקלט העיקרי במכשירים בעלי מסך מגע, ובפרט מכשירים המבוססים על מערכת ההפעלה iOS, פירצה שכזו היא מקבילה לפירצת Keylogging, שכן התוקפים יכולים להשתמש בנתוני הקוארדינטות של המגע, בצירי ה-X וה-Y, על מנת לקבוע בקירוב, על ידי הנדסה הפוכה של אפליקציות מסויימות מה הקורבנות עשו בדיוק במכשירים שלהם. התוקפים אף יכולים להשתמש בטכניקות מסויימות של הנדסה חברתית בכדי לשכנע את הקורבנות להתקין אפליקציות זדוניות, או אף להשתמש בפירצות אבטחה באפליקציות מסויימות על מנת להשתמש בהן בתור ניטור רקע של פעולות המשתמשים.

מקור: יח״צ, עיבוד תמונה

מקור: יח״צ, עיבוד תמונה

החוקרים סיפרו כי הפירצה נבדקה על ידם בגירסאות הבאות של iOS: כל הגירסאות השונות של iOS 6.1.x ואף הגירסאות האחרונות של מערכת ההפעלה, iOS 7.0.5 ו-iOS 7.0.6. על פי החוקרים, הפירצה מתבססת על פיצ׳ר ב-iOS7 שנקרא ״רענון אפליקציות רקע״, אשר תורם להשארת האפליקציה בזיכרון המכשיר, רענון שלה לצורך קבלת עדכונים וגישה מהירה אליה לאחר מכן. על פי החוקרים, הדרך הכי טובה להימנע מבעיית האבטחה הזו, עד שאפל תשחרר עדכון המתקן אותה, היא להשתמש במנהל המשימות של iOS בכדי לסגור אפליקציות הפועלות ברקע.

אז מאילו אפליקציות אנחנו צריכים לחשוש כאשר אנחנו מורידים אפליקציות, אפילו אם בידינו מכשיר שלא עבר Jailbreak? אפליקציות להשמעת מוזיקה, שכן על פי החוקרים השמעת מוזיקה אינה דורשת את הפעלת מתג ״רענון האפליקציה ברקע״ שלה, ולכן אפליקציה זדונית יכולה להסוות את עצמה בתור אפליקציית מוזיקה המנטרת את הנתונים של המשתמש ברקע. הקבוצה הוסיפה כי הם פועלים במלוא המרץ בשיתוף פעולה עם אפל בכדי לספק להם את כל הפרטים, מה שיביא בסופו של דבר לתיקון הבעיה. עד אז, ההמלצה שלנו היא לא להשאיר אפליקציות פועלות ברקע ולסגור אותן באמצעות מנהל האפליקציות של iOS.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

1 תגובה על "פירצת אבטחה ב-iOS מאפשרת להקליט את מחוות המגע של המשתמשים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
עומרי
Guest

פירצות אבטחה תמיד מתעדכנות בIOS
מכל האלמנטים שמיוצר המערכת
תמיד יש עדכוני פירצה של JAILBREAK
ופריצות אבטחה כלליות חמורות יותר.

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל