Spoločnosť zameraná na bezpečnosť, FireEye, upozornila na novú hrozbu pre iOS nazvanú Masque Attack. Pod týmto názvom sa ukrýva chyba v iOS, ktorá umožňuje neoficiálnym aplikáciám nahradiť tie oficiálne. Týka sa to len aplikácií, ktoré nájdete aj v App Store, nie tých, ktoré sú predinštalované od Apple. Útok prebieha tak, že cez e-mail alebo SMS správu dostanete odkaz s textom ako napríklad: „Stiahni si novú hru Flappy Bird.“ Odkaz vás presmeruje mimo App Store a umožní vám stiahnuť si aplikáciu, ako napríklad Gmail, ktorá prepíše orignálnu aplikáciu Gmail, ktorú už máte nainštalovanú. Bežne sa pritom nedá rozpoznať, či máte nainštalovanú infikovanú verziu alebo originál. Chyba sa prejavuje v iOS 7.1.1, 7.1.2, 8.0, 8.1, 8.1 a iOS 8.1.1 beta, čo znamená, že ani v pripravovanej aktualizácii nie je vyriešená.
Inštalácia týchto aplikácií prebieha podobným spôsobom ako inštalácia betaverzií pripravovaných aplikácií, ktoré napríklad firma distribuuje svojim zamestnancom, a nemusí sa pri tom zdržiavať App Storom. Samozrejme, nielen dovtedy, kým Apple opraví túto chybu, platí, že by ste mali inštalovať len aplikácie z oficiálnych obchodov a nie cez odkazy v správach od neznámych používateľov.
komentárov
Toto je typ informácie, s ktorou neviem ako naložiť. Pochopil som, že ide o čosi nekalé, ale neviem ako sa to má prejaviť ani či sa môžem nejako brániť …
Už len kto by na niečo takéto naletel? Sťahovať len z App Store ľudia!
To androiďáci radi sťahujú hocikde a potom to pri tom slabom systéme aj tak vyzerá.
Nejedna se o novou hrozbu a ani o bug.
Znamena to jen, ze uzivatel je hlupak, kdyz otevre link z sms/emailu, od cloveka, ktereho nezna, prejde na stranku, na ktere nikdy nebyl a potvrdi dialog, ktery ho varuje, ze instaluje neco, cemu se neda verit.
Navic “utocnik” musi pouzit svuj registrovany developersky ucet se vsema informacema (od jmena & prijmeni, az po adresu, atd..).
Otazne je ci je mozne vypnut instalaciu takehoto softwaru? Da sa v telefone nastavit moznost akceptovat iba software s APP storu? Tak ako to je na MACu.
miro: cez iphone configuration utility sa da vytvorit profil pre zariadenie, ktore zakaze pridavanie dalsich profilov. Tym padom sudruh falosny developer nevie donutit uzivatela nainstalovat svoju falosnu aplikaciu, pretoze ta je podpisana jeho provisioning profilom. A ten ma potencialna obed zakazana instalovat :-)
Takto by to malo byt, opravte ma ak sa mylim.