שוד הססמאות הגדול של אפל: נוזקה במערכת ההפעלה של האייפון גנבה פרטים ליותר מ-225 אלף חשבונות
משתמשים באייפון פרוץ? כדאי שתקראו את זה: נתגלתה נוזקה בשם KeyRaider שגנבה מידע ליותר מ-225 אלף משתמשים ברחבי העולם וגם בישראל. כל הפרטים בכתבה
0
1
חברת המחקר הסינית WeipTech, שמורכבת ממשתמשי ומתכנתי אייפון, ניתחה לאחרונה חבילות פריצה לאייפונים בעקבות דיווחים של משתמשים, ומצאה מעל ל-225 אלף חשבונות אפל פעילים עם כל הסיסמאות סיסמאות שלהם - כשהם מאוכסנים על גבי שרת. ככול הידוע מדובר בגניבת החשבונות הגדולה ביותר באפל שנוצרה מנוזקה.
רוצים לקבל את כל חדשות הדיגיטל והדברים הכי ויראליים ברשת? עשו לנו לייק בפייסבוק
בשיתוף עם WeipTech, חברת פאלו אלטו, שבראשה עומד המייסד ומנהל הטכנולוגיות הראשי הישראלי ניר צוק, זיהתה 92 דוגמאות שונות ברחבי העולם לנוזקה הייחודית הזו, התוקפת מכשירי אייפון פרוצים, ולאחר ניתוח הדוגמאות, מצאה פאלו אלטו את מטרת מפיץ הנוזקות וכינתה אותה בשם - KeyRaider.
2
נוזקת KeyRaider מכוונת לאייפונים פרוצים, ומופצת דרך צד שלישי שלו הרשאה לתוכנת Cydia (תוכנת פריצה למערכת האייפון) בסין. על פי המסתמן, האיום השפיע על משתמשים מ-18 מדינות: סין, צרפת, רוסיה, יפן, בריטניה, ארה"ב, קנדה, גרמניה, אוסטרליה, איטליה, ספרד, סינגפור, דרום קוריאה וגם ישראל.
הנוזקה פועלת כך שהיא מתלבשת על תהליכי המערכת, באמצעות מערכת ה- MobileSubstrate, מסגרת הפעילות של תוכנת ה-Cydia, וגונבת שמות משתמשים וסיסמאות של לקוחות אפל, כמו גם את המזהה הייחודי הגלובלי (GUID) של הטלפון - על ידי כך שהיא קולטת את התנועה ב-iTunes שעל המכשיר. הנוזקה גונבת את הרשאות עדכוני ה-Push ואת המפתחות הפרטיים, גונבת ומשתפת את פרטי הרכישות בחנות האפליקציות של אפל, ומשביתה את פונקציות הנעילה המקומית והמרוחקת של מכשירים ואפליקציות באייפונים ואייפדים.
3
על פי המסתמן, נוזקת KeyRaider הצליחה לגנוב ססמאות ופרטי חשבון למעל ל-225 אלף חשבונות אפל פעילים - כולל השגת אלפי הרשאות, מפתחות פרטיים וחשבוניות רכישה. ומה קורה עם המידע שנאסף עליכם? הנוזקה מעלה את המידע הגנוב לשרת השליטה והבקרה שלה (C2), שהוא עצמו כולל נקודות תורפה שחושפות את נתוני המשתמשים.
מטרת המתקפה היתה לאפשר למשתמשים בעלי שתי חבילות פריצה ספציפיות ל-iOS להוריד אפליצקיות מחנות ה-App Store הרשמית ולבצע רכישות בתוך האפליקציות מבלי לשלם בפועל. חבילות פריצה (Jailbreak Tweaks) הן חבילות תוכנה שמאפשרות למשתמשים לבצע פעולות שאינן אפשריות לרוב ב-iOS.
שתי חבילות פריצה אלו חוטפות את בקשת הרכישה של האפליקציה, מורידות חשבונות גנובים או רוכשים קבלות מתוך שרת ה-C2, ולאחר מכן מדמות את הפרוטוקול של ה-iTunes בכדי להתחבר לשרת של אפל ולרכוש אפליקציה או פריטים אחרים המבוקשים על ידי המשתמש. לחבילות הפריצה הללו יש מעל ל-20 אלף הורדות, מה שמביא להשערה כי כ-20 אלף גולשים משתמשים ב-225 אלף פרטי המשתמשים הגנובים. חלק מקורבנות גניבת הזהויות דיווחו כי חשבונות אפל הגנובים שלהם הראו היסטורית רכישת אפליקציה חריגה. אחרים דיווחו, כי הטלפונים שלהם נחסמו בתמורה לכופר.
4
בגדול הנוזקה עובדת בשלושה מישורים שונים:
• גניבת פרטי חשבונות של אפל (שם משתמש וסיסמה) כמו גם את המזהה הייחודי הגלובלי (GUID) - זאת נעשה על ידי השתלטות על הרשאות הפרטיות (SSL) של מערכת ה-iTunes של הטלפון. כאשר מערכת ה-App Store מבקשת מהמשתמש להכניס את הסיסמה שלו, המידע נשלח לשרת של אפל באמצעות תעודות SSL. הנוזקה מחשפת את הפעילות הזו וגונבת ממנה את המידע של המתשמשים. לאחר מכן המידע נשלח לשרת ה-C2 של התוקפים.
• גניבת הרשאות ומפתחות פרטיים המשמשים את שירות התראות ה-Push של אפל - הנוזקה מנצלת זאת על ידי שהיא יוצרת הרשאות מזוייפות לשליחת התראות Push.
• מניעה מנעילה של המכשיר הנגוע על ידי סיסמה או ענן ה-iCloud של אפל - במהלך חטיפת המידע הנוגע להתראות שמגיע משרת אפל, הנוזקה גם חוטפת את המידע הנוגע לנעילת המכשיר.
זיהוי הנוזקה
החל מיולי השנה, החלו להתקבל דיווחים כי חלק מחשבונות אפל נוצלו ליצירת רכישות לא מורשות או להתקנת אפליקציות של אפל. על ידי בחינת חבילות פריצה, גילתה פאלו אלטו חבילה אחת חריגה שאספה מידע ממשתמשים והעלתה אותה לאתר לא לא צפוי. החברה מצאה שלאתר זה יש תורפת החדרת SQL טריוויאלית, שמאפשרת גישה לכל הרשומות בבסיס הנתונים Top100:
בתוך בסיס הנתונים הזה, נמצאה טבלה בשם Aid שכללה 225,941 רשומות. לכ-20 אלף מתוכן היו שמות משתמשים, סיסמאות ומזהים ייחודים גלובליים בצורת טקסט פשוט, בעוד שאר הרשומות היו מוצפנות. על ידי הנדסה לאחור (Reverse Engineering) של חבילות הפריצה, מצאה החברה חתיכת קוד שמשתמשת בתקן ההצפנה המתקדם AES עם מפתח קבוע של mischa07. כך, ניתן לפענח את שמות המשתמשים והסיסמאות המוצפנות בשימוש במפתח סטטי. באופן זה הצליחה החברה לאשר כי רשימת שמות המשתמשים היו לקוחות אפל פעילים. חוקרי החברה זרקו כמחצית מכל הרשומות בבסיס הנתונים לפני שמנהל האתר זיהה אותם וסגר את השירות. הנתונים פורסמו בהרחבה באתר WeipTech בסוף אוגוסט.
מניתוח ראשוני של הנתונים עלה כי חבילות הפריצה לא הכילו קוד זדוני שמאפשר לגנוב סיסמאות להעלותם לשרת ה-C2. עם זאת, ממידע נוסף עולה כי היתה נוזקה נוספת שאספה פרטים של משתמשים והעלתה אותם לשרת.
הפצת נוזקת KeyRaider
על פי בדיקות פאלו אלטו, הנוזקה מתפשטת רק דרך מאגרי Cydia עבור מכשירי iOS פרוצים. מאגר ה-Cydia בשם Weiphone מהווה מאגר פרטי בו משתמשים רשומים יכולים להעלות אליו אפליקציות באופן ישיר ולשתף חבילות פריצה עם משתמשים אחרים. משתמש אחד של המאגר הזה, בשם mischa07 העלה לפחות 15 דוגמאות שונות של נוזקת ה-KeyRaider למאגר הפרטי שלו ב-2015:
מאחר ושם הקוד mischa07 נצרב גם הנוזקה כמפתח ההצפנה והפענוח, בחברה מאמינים כי אותו המשתמש הינו יוצר הנוזקה:
חלק מהדברים שאותו משתמש העלה, הורדו על ידי עשרות אלפי משתמשים אחרים. אותם אפליקציות וחבילות פריצה כוללות פונקציות כמו Cheat במשחקים, כוונון מערכות והפשטת פרסומות. שתי החבילות הפופולאריות ביותר מאפשרות הורדה של אפליקציות בתשלום מהחנות של אפל באופן חינמי, ושירות שמאפשר ביצוע רכישות בתוך האפליקציות עצמן ללא תשלום.
משתמש נוסף בפורום, בשם Bamu, אמנם מחק את מרבית הפוסטים שלו ברגע שהתגלתה הפריצה, אך מבדיקת החברה התגלה כי 77 מהאפליקציות והחבילות שפרסם בעבר התקינו את נוזקת KeyRaider על אלו שהורידו אותם. מסתמן כי בעוד mischa07 היה זה שיצר את הנוזקה ופיתח גרסאות שונות שלה, האפליקציות של bamu כללו אריזה מחדש של אפליקציות קיימות (כמו למשל iFile). מהמידע שנחשף נמצא כי 67% מהחשבונות הגנובים הגיעו מ-bamu.
איום נוסף - טלפונים שנתפסים תמורה לכופר
בנוסף לגניבת פרטי משתמשים, לנוזקת KeyRaider יש גם יכולת מובנת לתפוס מכשירי iOS בתמורה לכופר. בשונה מנוזקות שונות שפעלו במערכת של אפל והתבססו על סיסמאות של ענן ה-iCloud, נוזקת KeyRaider יכולה לבטל לחלוטין כל פעולה של פתיחת המכשיר, גם אם הסיסמה הנכונה הוקלדה. הנוזקה יכולה לשלוח גם הודעת התראה הדורשת כופר באופן ישיר דרך שימוש בהרשאות והמפתחות הפרטיים הגנובים, ללא הצורך לעבור בשרת התראות ה-Push של אפל. דוגמה לדרישת כופר במכשיר אפל:
איומים נוספים פוטנציאליים
שימוש בשמות המשתמשים והסיסמאות של אפל יכול להביא למתקפות נוספות. למשל, תוקפים יכולים להשיג שליטה על מכשירים דרך ה-iCloud , לגשת ישירות לכל המידע של הודעות ה-iMessage של המשתמשים, אנשי הקשר שלהם, תמונות, מסמכים ואף מיקום, כפי שנעשה בפריצה המתקושרת לשרתי ה-iCloud שהתרחשה ב-2014.
בנוסף, תוקפים יכולים להשתמש במידע גנוב כדי לקדם את הדירוג ואת מספר ההורדות של אפליקציות בחנות ה-App Store של אפל בצורה לא חוקית. למעשה, הרבה מקורבנות KeyRaider דיווחו על פעילות הורדת אפליקציות לא רגילה, מה שהוביל לבסוף לחשיפת הנוזקה. מעבר לכך, הורדת אפלקיציות בתשלום מהחנות ללא צורךף לשלם עליהם, משמעותו שעלות האפליקציה תצא מקורבן התקיפה אך הכסף ילך לאפל ובחלקו גם למפתחים. במקרים מסויימים נמצא כי אותם מפתחים שיתפו פעולה עם התוקפים בחלוקת הכסף.
מפאלו אלטו נמסר, כי בשנתיים האחרונות הם רואים עלייה ביכולת התוקפים להשתמש במידע כדי ליצור הודעות ספאם לשירות ה-iMessage של אפל. הודעות כאלו הן קשות יותר לחסימה מסמסים רגילים, כיוון שהם דורשות חיבור אינטרנט בלבד, ולא חיבור סלולרי.
הגנה ומניעה
"חשוב לזכור כי נוזקת KeyRaider משפיעה רק על מכשירי אפל פרוצים. כלומר משתמשים שלא פרצו את האייפון או האייפד שלהם נותרים מוגנים", כך אומר ציון עזרא, סמנכ"ל מכירות באינוקום מקבוצת אמן, המפיצה הבלעדית של פאלו אלטו בישראל. "חשוב לציין כי רק כמחצית מהחשבונות הגנובים נחשפו לפני שהתוקפים זיהו את נקודת התורפה, כך שכל משתמש שאי פעם הוריד אפליקציות או חבילות פריצה ממקור Cydia יכול להיות מודבק. פאלו אלטו הוציאה התראה על חתימות DNS מתוך שרת ה-C2 הזדוני. אנחנו נשארים במעקב יחד איתם עבור משתמשים שנחשפו לתקיפה."
אז מה ניתן לעשות בינתיים? "באופן כללי, מומלץ לא לפרוץ את מכשירי האפל שלכם אם ניתן להימנע מכך. אין כיום מאגרי Cydia שמריצים בדיקות אבטחה על אפליקציות או חבילות, כך שהשימוש בהם הוא על אחריות המשתמשים בלבד. אנו ממליצים כי כל המשתמשים שפרטיהם נגנבו יחליפו את סיסמת חשבון האפל שלהם לאחר שהצליחו להסיר את הנוזקה ויצרו זיהוי הכולל שני משתנים לפרופיל ה-Apple ID שלהם," הוא מסכם.