3. iOS Uygulamaları Hakkında
Uygulamalar yalnızca resmi App Store’dan indirilebilir
App Store’a uygulama koyabilmek için geliştirici
kaydı yapılmalıdır
App Store’a koyulmak üzere gönderilen uygulamalar
bir denetimden geçer
Herhangi bir kod parçasının, kütüphanenin cihazda
çalıştırılabilir olması için imzalanmış olması gerekir
(Code Signing)
4. JailBreak Hakkında
JailBreak Code Signing’i devre dışı bırakır
JailBreak sayesinde 3rd Party store’lardan
uygulama indirilebilir (En popüler olanı
Cydia)
JailBreak sayesinde cihaza SSH ile bağlantı
kurulabilir, tüm dosya sistemine erişilebilir.
5. App Store Harici Uygulama
Yükleme Kanalı
JailBreak yapılmamış bir cihaza App Store haricinde iki
şekilde uygulama yüklenebilir:
1. Developer Provisioning: Geliştiricilerin
uygulamalarını kendi cihazlarında test etmelerine
olanak tanır. (Max 100 cihaz)
2. Enterprise Provisioning: Kurumların personel
cihazlarına kurum içi geliştirilen ve App Store’a
koyulmayan uygulamaları yüklemesine olanak
tanır.
11. iKEE ve Duh - 2009
iKEE, bilinen ilk iOS zararlısı
Jailbroken cihazları etkiliyor
JB öntanmlı SSH parolası ile
giriş denemesi yapıyor
(root:alpine, mobile:alpine)
Duh, iKEE’nin bir gelişmiş versiyonu.
CC sunucusundan aldığı komutları
işliyor, bilgi çalıyor…
SSH parolasını değiştiriyor (ohshit)
12. iSAM (PoC) - 2011
iKEE gibi jailbroken cihazlarda öntanımlı SSH parolası denemesi
yapıyor.
Jailbroken olmayan cihazları JailBreakME 2.0 Star exploiti ile
Jailbreak Yapmaya çalışıyor.
InstaStock- 2011
Charlie Miller tarafından CodeSigning mekanizmasındaki
bir açıklığı göstermek üzere geliştiriliyor
App Store’da yer alıyor, daha sonra kaldırılıyor
13. Find And Call - 2012
iOS App Store’da yer aldı.
Kullanıcı telefon rehberini
kendi sunucusuna
gönderiyor.
Telefon rehberindeki kişilere
App Store linki SMS olarak
gönderiliyor
14. FinSpy - 2012
Bahreyn’li aktivistleri hedef alan bir saldırının (FinFisher) parçası
Android, iOS, Blackberry, Windows Mobile ve Symbian
versiyonları mevcut
Developer Provisioning Profile kullanılmış ve hedef alınan
cihazların UDID değerleri profile dosyasında yer alıyor
31b4f49bc9007f98b55df555b107cba841219a21,
73b94de27cb5841ff387078c175238d6abac44b2,
0b47179108f7ad5462ed386bc59520da8bfcea86,
320184fb96154522e6a7bd86dcd0c7a9805ce7c0,
11432945ee0b84c7b72e293cbe9acef48f900628,
5a3df0593f1b39b61e3c180f34b9682429f21b4f,
b5bfa7db6a0781827241901d6b67b9d4e5d5dce8
15. DROPOUTJEEP - 2013
Snowden’ın sızdırdığı NSA belgelerinde yer alıyor
iPhone cihazlara yerleştirilen bir arka kapı
sayesinde cihazlar sahiplerini dinleme, izleme ve
casusluk amaçlarıyla kullanılıyor.
Detayları çok net bilinmiyor
NSA’in elinde çok sayıda iOS exploiti olduğu
söyleniyor
Apple’ın NSA ile birlikte çalıştığı iddia edildi,
Apple reddetti.
16. Mactans Malicious Charger
(PoC) - 2013
Provisioning Profile kullanılıyor.
Şarj cihazı görünümlü bir BeagleBone ile malware cihaza yükleniyor
17. Unflod Baby Panda - 2014
Jailbroken cihazları etkiliyor
MobileSubstrate kullanarak
SSLWrite() fonksiyonuna
kanca atıyor
SSL ile gönderilen AppleID ve
parolasını sunucusuna
gönderiyor
Geçerli bir iOS geliştirici
sertifikasıyla imzalanmış
18. Jailbroken olmayan cihazları etkiliyor
Gelişmiş Anti-analiz teknikleri içeriyor.
Saldırı temelde 2 aşamadan oluşuyor:
1. OSX Makine enfekte edilir (3rd Party Mac App Store üzerinden - 467
torjanized OSX App)
2. USB bağlantısı üzerinden iOS cihaz enfekte edilir
Zararlı iOS app üretimi işlemini otomatize bir şekilde yapan ilk zararlı yazılım
Enterprise Provisioning kullanarak 3rd party uygulamaları non-jailbroken
cihazlara kuran ilk zararlı yazılım.
2014
19. OSX makinede çalışan zararlı yazılım internetten iOS app’ler
indiriyor.
Bu app’lerin hepsi Enterprise Provisioning Profile barındırıyor.
2014
20. Herhangi bir cihaz enfekte OSX makineye bağlandığında cihazın JB
olup olmadığı kontrol ediliyor
JB’li ise cihazdaki bazı app’lerin yedeği alınıyor, bu app’ler
torjanize ediliyor ve tekrar cihaza kuruluyor
JB’li değil ise Enterprise Provisioning Profile yardımıyla daha önce
indirilmiş app’ler cihaza kuruluyor.
Zararlı yazılı kurulduğu cihazda, Serial number, Phone number, Model
number, Device type & version name, Apple ID, UDID, Wi-Fi address,
Disk usage, Telefon defteri, SMS Mesajnları gibi bilgileri topluyor,
sunucuya gönderiyor.
2014
21. PawnStorm & XAgent - 2015
Askeri kurumlar, kamu kurumlar, savunma sanayii ve medya
sektörlerini hedef alıyor.
Siber espiyonaj amaçlı bir zararlı yazılım
SEDNIT siber espiyonaj kampanyasının bir parçası
Kişisel veriler çalma (telefon rehberi, SMS mesajları, fotoğraflar,
konum, yüklü uygulamalar), ses kaydı ve ekran kaydı alınması.
Toplanan bilgilerin C&C sunucusuna gönderilmesi
Kod yapısı çok profesyonel
22. PawnStorm & XAgent - 2015
Jailbroken olan cihazları
etkileyen versiyonun yanında
Jailbroken olmayan cihazlar
için de bir versiyonu mevcut
Enterprise Provisioning Profile
kullandığı tahmin ediliyor.
23. HackingTeam - 2014, 2015
CVE-2014-4494, CVE-2015-3722 ve CVE-2015-3725
gibi açıklıklar kullanılmış (Masque)
Popüler uygulamaların trojanized versiyonları ile bilgi
toplama ve izleme yapılıyor
Enterprise Provisioning Profile kullanılmış.
HackingTeam’in sızan belgeleri içerisinde 11 tane
uygulama tespit edildi
24. XCodeGhost - 2015
XCode geliştirme ortamının trojanized hali kullanılarak
compile edilen uygulamaların içerisine zararlı kod enjekte
ediyor.
OSX platformu için geliştirilmiş ilk compiler zararlısı
Torjanize edilmiş 36 iOS uygulaması bulunuyor ve bunlardan
bazıları AppStore kontrollerini geçip App Store’da yer alıyor
Cihazlardan veri toplayıp C&C sunususuna iletiyor.
26. XCodeGhost - 2015
Apple XCodeGhost ile ilgili bir bülten yayınladı:
http://www.apple.com/cn/xcodeghost/
27. YiSpecter - 2015
Çinli ve Tayvanlı ISP’lere ait trafik hijack edilerek:
Browse edilen sayfa içerisinde JavaScript ve
HTML kodu enjekte ediliyor.
Uygulama indirme linkleri değiştirilerek
kullanıcılar zararlı uygulamalara yönlendiriliyor
Çinli meçhur Chat uygulaması QQ mesajları
içerisinde zararlı yazılıma yönlendirici linkler
gönderiliyor
Kullanıcılardan +18 video izleyebilecekleri bir
uygulama indirmeleri isteniyor
Hücresel veri veya kurumsal internet üzerinde
böyle bir problem yaşanmıyor.
28. YiSpecter - 2015
Enterprise Provisioning Profile ile imzalanmış 4 adet alt komponentten
oluşuyor.
Bu komponentlerden bazıları kendisini Passbook, Game Center gibi
sistem uygulamaları olarak göseriyor
Private API fonksiyonlarını kullanarak hassas işlemler yapabiliyor ve App
Store kontrollerini atlatabiliyor
Uygulamalarda araya girip reklam gösteriyor
Safari homepage’ini, arama motorunu, bookmark’ları güncelliyor
Cihazdan veri toplayıp C&C sunucusuna gönderiyor
29. MUDA - 2015
12 Eylül 2015’de
sample’ları yayınlandı
2 yıldır aktif olduğu biliniyor
Jailbroken cihazları
etkiliyor
Kullanıcıya reklam
gösteriyor ve kullanıcıdan
app indirmesini istiyor.
31. Sonuç:
Evet, iOS platformunu tehdit eden zararlı yazılımlar mevcut
Hayır, iOS zararlı yazılımları sadece JailBroken iOS kullanıcılarını etkilemiyor
Evet, Bu zararlı yazılımların bazıları (Toplamda 6-7 tür) App Store’da yer
almış
Evet, Provisioning Profile ile zararlı yazılım yüklenmesi en etkili saldırı
verktörü
Evet, Bilgisayar üzerinden zararlı yazılım yüklenmesi kullanılan saldırı
vektörlerinden
Evet, iOS zararlı yazılım pazarında Çin ve uzak doğu önemli bir rol oynuyor