В начале августа исследователи из Центра Компьютерной Безопасности Джорджии сообщили, что занялись вопросом безопасности iOS устройств и решили доказать, что Айфоны и Айпэды не так безопасны, как принято думать.
На тот момент было известно, что удалось создать полноценный троян Jekyll. Он может отправлять SMS на премиальные номера, публиковать сообщения в Twitter и по электронной почте, отслеживать местоположение пользователя, незаметно включать микрофон смартфона, делать снимки на камеру, атаковать другие приложения. Jekyll может даже взять под свой контроль браузер Safari и перенаправлять пользователей на вредоносные сайты. Исследователи сообщили, что инфицированное приложение может пройти цензоров App Store и попасть в магазин приложений.
16 августа доклад «Jekyll on iOS: When Benign Apps Become Evil» был опубликован на конференции Usenix в Вашингтоне, так что теперь известны подробности. Оказывается, попадание трояна в магазин приложений — не теоретическое исследование, а свершившийся факт. Создатели Jekyll смогли поместить приложение в App Store, скрыв вредоносную функциональность от ручной модерации и автоматической модерации.
Троян под видом приложения для студентов попал в App Store в марте 2013 года. Разработчики скачали его на устройства, после чего незамедлительно удалили, чтобы защитить других пользователей.
Авторы пояснили, что до определенного момента приложение не представляет ни малейшей угрозы. Но при подключении к сети оно может подгружать дополнительные фрагменты с удаленного сервера, что полностью меняет его логику и поведение.
Активация приложения происходит за счет ROP-атаки, то есть возвратно-ориентированного программирования. Оно нацелено на обход защитных механизмов, например неисполняемых сегментов памяти. Это сравнительно новый метод, который требует высокого уровня подготовки разработчика и занимает много времени. В случае с App Store атака позволила обойти защиту с помощью цифровой подписи и механизм защиты DEP.
В ходе доклада исследователи отмечают, что механизмы проверки приложений в App Store слишком несовершенны. Это ставит под сомнение безопасность мобильных устройств Apple, ведь статический анализ не позволяет отслеживать динамически генерируемую логику приложений.
После доклада представители Apple сообщили, что уже предприняли «определенные действия» для исправления сложившейся ситуации. Что именно изменилось в механизмах проверки приложений, не сообщается, но звать Касперского на помощь владельцам iOS устройств по-прежнему рано.