Video: Install ANY iOS/iPadOS app onto Apple Silicon M1 Chip - Bypass Mac App Store With .ipa iMazing (November 2024)
Tijdens een Main-in-the-Middle-aanval kaapt iemand uw verbinding met een beveiligde site, ontvangt alles wat door een van beide partijen is verzonden en geeft het door, mogelijk met schadelijke wijzigingen. Maar een MITM-aanval eindigt wanneer u de verbinding met het netwerk verbreekt. Niet meer zegt Yair Amit van Skycure (de jongens die mijn iPhone hebben gehackt). Ze hebben kennelijk een kwetsbaarheid blootgelegd die het gedrag van apps in iOS permanent kan veranderen.
Maak kennis met de HTTP-verzoek kapingaanval
Skycure noemt het een HTTP Request Kaping-aanval en het begint, zei Amit, met een MITM-aanval. Terwijl u verbonden bent met het kwaadaardige netwerk, controleert de aanvaller uw verkeer en zoekt hij naar apps die informatie van servers ophalen. Vervolgens onderschept de aanvaller dat verzoek en stuurt een 301 HTTP-statuscode terug naar de toepassing. Dit is een permanente omleidingsfout en meldt de browser dat de server waarnaar hij zoekt permanent naar een andere locatie is verplaatst.
Alle kwetsbare apps, legt Amit uit, zullen de door de 301-code gemaakte wijziging in de cache opslaan en in de nabije toekomst verbinding blijven maken met de omgeleide server. In een niet-kwaadaardig scenario is dit geweldig voor gebruikers, omdat het snellere en betrouwbaardere verbindingen betekent. Maar wanneer de aanvaller zijn 301-fout verzendt, dwingt het de toepassing om informatie van zijn server te laden.
De implicaties zijn interessant. Amit wees erop dat veel nieuws- en aandelenapplicaties geen URL-balken hebben, dus het is de gebruiker niet duidelijk waar de informatie vandaan komt. In het geval van een gecompromitteerde nieuwstoepassing zei Amit: "Nu lees je nepnieuws van de aanvaller."
Een dergelijke aanval kan subtiel zijn, misschien nepverhalen geven of onnauwkeurige aandeleninformatie om de markt te manipuleren. Of een aanvaller kan mogelijk alle informatie van de server van een nieuws-app spiegelen, maar kwaadaardige links injecteren voor phishing, of erger.
Op grote schaal maar ongebruikt
Het engste wat Amit me vertelde was niet wat de aanval kon doen, maar hoe wijdverbreid het was. Omdat het zo eenvoudig is, lijken duizenden apps te zijn getroffen. Zoveel, dat Skycure zegt dat de enige manier om de kwetsbaarheid op een verantwoorde manier bekend te maken, was door het publiekelijk te beschrijven zonder de namen van de getroffen apps te onthullen.
Het goede nieuws is dat Amit zegt dat zijn team deze specifieke aanval in het wild niet heeft gezien. De implicatie is natuurlijk dat ontwikkelaars snel moeten werken om hun apps bij te werken en het probleem op te lossen voordat iemand het gaat gebruiken. Ontwikkelaars die daar zijn, moeten naar Skycure gaan voor suggesties voor het verbeteren van hun apps.
Veilig blijven
Het beste wat gebruikers kunnen doen, is hun apps up-to-date houden, omdat ontwikkelaars waarschijnlijk beginnen met het implementeren van fixes in kwetsbare apps. Als u denkt dat u al bent getroffen door deze specifieke aanval, moet u de verdachte toepassing verwijderen en vervolgens opnieuw installeren vanuit de App Store.
Het vermijden van deze aanval in de toekomst is in theorie eenvoudiger dan in de praktijk. "Het is altijd veiliger om geen verbinding te maken met WiFi-netwerken, maar uiteindelijk doen we dat altijd", zegt Amit. Soms is het niet eens een kwestie van gemak, omdat telefoons verbinding kunnen maken met Wi-Fi-netwerken zonder gebruikersacties. Amit verklaarde dat AT & T-klanten automatisch verbinding maken met AT & T-netwerken. Hij wees er ook op dat als een aanvaller kwaadaardige profielen gebruikt, zoals Skycure deed toen ze mijn iPhone hackte, zelfs een SSL-verbinding de aanval niet kon stoppen.
De verantwoordelijkheid ligt volgens Skycure bij ontwikkelaars om hun apps te bouwen om het probleem in de eerste plaats te voorkomen. En hopelijk snel, omdat de informatie over het beveiligingslek nu beschikbaar is.
