Proponha uma correção, faça uma sugestão
iPhone tem uma falha que permite instalação de apps maliciosas
Os problemas de segurança têm, nos últimos dias, afectado de forma séria a Apple. São várias as falhas que se conheceram para o OSX e para os Mac, todas com um elevado grau de perigo.
A mais recente a ser descoberta vem agora para o campo do iOS, permitindo a qualquer atacante instalar aplicações maliciosas sem que o utilizador tenha consciência disso.
Esta falha do iPhone consegue enganar os utilizadores e substituir-lhe aplicações presentes em sistema por outras que estão alteradas e controladas pelos atacantes.
O primeiro passo, que está provado que funciona, leva a que os atacantes consigam contornar os mecanismos de controlo da origem das aplicações, levando a que o iOS seja convencido que a origem das aplicações é fidedigna.
O Masque, nome que esta técnica tem, não é novo, mas agora usa a técnica ‘URL Scheme Hijacking’. Depois de enganado o iOS, os utilizadores apenas necessitam de clicar num link malicioso, muitas vezes propagado por email, para que sejam descarregadas e instaladas as novas versões das aplicações conhecidas.
O problema é que o descarregar e instalar destas aplicações alteradas é feito de forma completamente escondida, sem que os utilizadores tenham disso conhecimento.
Daqui em diante estas aplicações são usadas da forma normal, mas em fundo estão a recolher informação e dados dos utilizadores, enviando-os depois para os atacantes.
Não existe uma forma clara para os utilizadores se protegerem. Apenas devem evitar clicar em links maliciosos e ter atenção às aplicações que têm instaladas.
Importa alertar que muitas aplicações normalmente usadas estão já a ser alteradas e usadas para explorar esta falha do iPhone. Aplicações como o Twitter, Facebook e WhatsApp sabem-se que estão a ser usadas.
Os investigadores que detectaram esta falha reportaram que em teoria esta pode ser explorada em qualquer sistema operativo, mas a prova que foi feita e que se sabe estar já a ser usada assentou no iPhone.
Esta foi mais uma técnica que foi descoberta pela análise da informação que foi roubada à empresa Hacking Team, e que tem revelado várias técnicas que eram usadas para monitorizar utilizadores e obter deles informação.
Este artigo tem mais de um ano
Loading ...
penso que essa técnica já era usada pela equipa do pp25 para instalar apps no ios sem jailbreak.
qualquer das formas penso que tenha de existir sempre da parte do utilizador autorização para a instalação do certificado.
No caso do pp25 nas definições /geral/perfil fica guardado essa info, não sei se neste caso não ficará guardado e de fácil acesso/eliminação.
Pode ser por essa maneira.
Mas isso é estúpido!
A Apple pode desactivar essas Apps remotamente, e para ter acesso a esse certificado, é necessário dar os detalhes da empresa, é necessário que a Apple verifique essa empresa como real, e pagar $200 à Apple.
Pelo que percebo a apple permite a instalação de certificados não assinados mas tem de existir autorização por parte do utilizador. Pelo menos no caso do pp25 e tenho cá o certificado e está como não assinado, mas eu autorizei a instalação.
Não se este funciona da mesma forma senão….
Claro, também acho que tinha de instalar esse certificado, está a minha frente…
Mas o que interessa é vender pipocas…
Mas o que é isto pplware agora só descobrem falhas nos Apple? Daqui a pouco os seus fãs da marca começam a desconfiar que enfiaram um barrete, não queremos isso…
Ou tu é que só descobres artigos a falar da Apple…
Pois costumava ser o contrário neh?! 😉
O problema foi detectado no ios e no final do artigo está a mencionar que outros podem.. dêem destaque a isso. Para não termos aqui fanboys going all mad.
Pedro Simões, vem cá varrer os fansboys haha
Let’s grab popcorns!
o sistema perfeito
Sempre a mesma coisa, todos os dias haverá falhas nos SOs, nas app e etc.
O iOS começa a ter demasiados utilizadores, por isso é um “mercado” apetecível para os Hackers. Cada dia que passa haverá sempre um problema para o iOS.
Excepto que isto é um ataque Masque, e não tem nada a ver com a segurança do iOS…
E mesmo que fosse, nunca houve problema que ficasse por resolver.
Já no Android, neste momento existem vários, como o StageFright, roubam-te as impressões digitais remotamente, instalam o que quiserem, e não tens solução… fica assim…
“ataque Masque, e não tem nada a ver com a segurança do iOS”
“Já no Android, neste momento existem vários”
duas frases que gostei de ler.
o resto deixo para quem queira desenvolver mais.
P.S
“E mesmo que fosse, nunca houve problema que ficasse por resolver.”
Vários ataques conhecidos que não têm resposta…
A Google já lançou um update de segurança para isso para os Nexus. E já existe no aosp sources também, basta as oems se lhes apetecer lá ir. Agora no Android nunca acontece ser instalada uma app por trás completamente escondida sem o utilizador ter qualquer noção do que se está a passar,que por sua vez pode ir buscar a informação ao telemóvel na mesma. Basta eles passarem um certificado a dizer que é uma app de sistema e têm acesso ao que lhes apetecer.
Se tiveres root. Não contes só o que te interessa.
O StageFright não precisa de root.
Nao tem nada a ver com a segurança do iOS? Pois na Apple nunca tem a ver com o OS mas sim com o facto do android fazer isto e aquilo… Enfim
E depois falas, mas quanto apostas que se o iOs tivesse o seu source-code opensource teria o triplo das falhas do Android?
Enquanto as falhas do Android sao descobertas e corrigidas antes de ser realmente usado por alguem, estas sao descobertas porque empresas que querem ganhar dinheiro com o Android (Basta ver que sao sempre empresas de anti-virus que “descobrem” a falha), no iOS sao hackers, quem sabe as vezes com que intençoes, que descobrem tendo em conta a tentativa de ataque, e muitas vezes sao feitos por hackers pequenos, e nao por hackers que teem os meios que as empresas de segurança teem.
Antes de falar no Android ve bem no que falas, porque uma coisa sao alertas de falhas, outras sao falhas que ja veem do iOS de a 2 ou 3 versoes atras, mais que usadas por hackers e que so passado anos e que veem revelar que as decobriram… Basta ver que o iOs é tao seguro que mesmo com o codigo fonte fechado em menos de 48h sao lançadas maneiras de jailbreack, e que é isso? Falha de segurança do SO que deixa uma app ganhar direitos que nao deveria ganhar
o problema é quando se fala virus falhas etc só pensam no boneco verde.
Quanto dinheiro a hacking team ganhou à custa do sentimento de segurança do iOS/Mac OS…
Continuem a fiar-se na virgem e não corram…
Extensões .ipa ? o mesmo que o APK para Android.
Benchmark do iPhone 6 explica que isto é uma falha muito difícil de explorar, nem requer correcção, se analisarmos bem até é uma feature.
Cumprimentos
+1
Então mais uma, das muitas, vulnerabilidades conhecida via informação publicada do hack ao Hacking Team.
Pelos vistos afecta o Android e o IOS mas os hackers, aproveitando as dicas dessa informação, criaram código para mostrar como era no iOS. Fizeram bem, a Apple já está a tratar do patch. Não se sabe se têm intenção de provar o mesmo em relação ao Android ou se já se anda a tratar de corrigir a vulnerabilidade?
E quanto a esta outra vulnerabilidade, também conhecida via hack ao hacking Team, que lhe permitia instalar o seu spyware para Android (RCSAndroid), sabe-se se já estão a tratar da sua correção? É que a informação incluía o código para a explorar e caiu nas mão dos “script kids”, nem é preciso ser grande hacker.
http://arstechnica.com/security/2015/07/advanced-spyware-for-android-now-available-to-script-kiddies-everywhere/
Precisas mesmo de cotoveleiras.
Não é preciso andar tão longe, descobri um método que me permite instalar qualquer aplicação, qualquer uma mesmo, apenas descarregando um ficheiro do Xcode Beta que simula o registo Apple Developer Program 😉
Não descobriste nada, é mesmo assim, podes usar o Xcode para instalar Apps que desenvolveste lá.
lol
Não estou a falar de apps que desenvolvi. Quando é que deixam de falar do que não sabem? Eu disse cebola e tu vens dizer tomates… Eu disse, instalo qualquer App mesmo (incluindo as Apps da App Store pagas e não pagas) e mais, não, não tenho de usar o Xcode para instalar. Só o tenho de usar para descarregar um ficheiro, mais nada.
Impossivel, não existem apps maliciosas para o Iphone 🙂
Esta semana foi uma falha apple por dia quase lol
http://arstechnica.com/gadgets/2015/08/waiting-for-androids-inevitable-security-armageddon/
LOL, o autor do artigo é o Ron Amadeo, do Android Police…
Não digas isso, é mentira aquilo é um sistema perfeito 😀
Houve várias sim, mas os utilizadores têm confiança de que são corrigidas rapidamente.
Já do lado do Android, em que houve outras tantas vulnerabilidades conhecidas, por causa do modo como (não) são corrigidas, o que lês é isto: “So when the original iPhone came out a few years ago, I swore in multiple heated discussions with friends and strangers that I’d never buy an iPhone. Since then, I’ve only owned Android phones. First a few HTC ones, now a Sony phone.
Well, I’m sick of it. And I’m ready to go to the dark side.”
http://motherboard.vice.com/read/goodbye-android
Gostei em especial deste comentário nesse post: “Nobody is saying Apple doesn’t have security holes. Of course they do. The difference, and the point of this article is that Apple can push out a fix and the users can install it quickly. With Android, it’s got to pass through your device manufacturer and carrier first, unless you use a Nexus.”
Depois de casa roubada trancas à porta!
Primeiro havia à falsa ideia de segurança porque o iOS era inviolável, agora, afinal já não é e inicia-se a aldrabice de que a Apple corrige logo e portanto se pode confiar.
Já que kruskas tanto, também podias kruskar se alguma vez disse alguma coisa diferente.
Kruska aí por “pplware benchmark do iphone vulnerabilidade” 😉
O “registo” que encontras é este:
https://pplware.sapo.pt/microsoft/windows/mac-os-x-e-o-ios-foram-os-sistemas-mais-inseguros-em-2014/#comment-1242115
E quem disse que tu disseste alguma coisa diferente?
“havia a falsa ideia “…
Para ti é mais “inicia-se a aldrabice de que a Apple corrige logo e portanto se pode confiar”. (note-se que a aldrabice está no poder confiar e não no “corrige logo”).
Aldrabice!! A dura realidade é que a Apple mais dia menos dia vai corrigir o bug. E vai disponibilizá-lo para a esmagadora maioria dos iOS devices que estão espalhados pelo mundo! Já os utilizadores teu amado Android tu inclusive razão umas ave marias na esperança de que os vossos devices recebam a actualização!
O IOS inviolável! Nunca o foi! Não há OS inviolavel.
“note-se que a aldrabice está no poder confiar e não no “corrige logo””
Quando o Android já serve de desculpa para os buracos da Apple, mal estão as coisas (para os iFans como tu).
Eu vou repetir o que ja disse mais acima….
“falhas” descobertas num SO Opensource, que pode ser corrigido e protegido por quem entender do assunto, que sao detectadas por empresas que vendem anti-virus (que teem pouquinhos meios e nao querem mesmo tentar vender o produto deles), sao mais graves do que falhas de segurança que existem num SO que pagas milhoes para ser desenvolvido, que é fechado e que e descoberto por hackers (com menos meios que uma empresa de segurança) é menos grave? Enfim…
E o iOS é tao bom que todo e qualquer post Apple/Android vens defender com unhas e dentes o iOS… o que e bom nao precisa de publicidade exagerada…
Perfeito comentário.
Mas para que são precisas essas elucubrações todas, de júnior deslumbrado com a expressão “open source”?
Pesquisa por “security report”. Se nos relatórios das empresas/entidades credenciadas houver um que te dê razão põe cá o link.
Se você não obtiver atendimento da Apple, pode fazer como esse rapaz:
https://www.youtube.com/watch?v=kLaNASFffcA