Apple má na App Storu velmi striktní pravidla obsahu, takže se mu daří většinu podezřelých aplikací odfiltrovat. Podvodníci však přišli na metodu, která jim umožní infikovat menší počet zařízení (max. 10 tisíc), zato však s prakticky nulovým podezřením.
Využívají prostředí TestFlight, které umožňuje testování iOS aplikací ještě před tím, než jsou zveřejněny na App Storu. Do těchto aplikací nasazují vlastní klávesnice, které jsou k nerozeznání od té originální, a to s cílem ukládat všechna písmena a slova, která na nich uživatelé napíší.
Vlevo defaultní klávesnice vpravo podvržená klávesnice s keyloggerem. Vizuálně není rozdíl prakticky žádný...
TestFlight nemá tak velkou úroveň zabezpečení, a tak na něm často není spyware detekován. Jakmile je infikovaná aplikace nainstalovaná na iPhone přes TestFlight, v telefonu se nastaví a nakonfiguruje klávesnice, kterou aplikace používá, a to s tzv. „plným přístupem“. Tato klávesnice se nakonec nastaví jako výchozí, což si uživatel nemá šanci všimnout. Podvržená vypadá jako ta originální, jenže funguje však jako keylogger. Zaznamenává vše, co na ní bylo napsáno.
Zjištěné texty, slova a hesla jsou následně odesílány na vzdálený server, kde je mají útočníci jako na dlani. Vidí název aplikace a text, který do ní byl zadán. Velmi snadno tak tímto způsobem mohou získat třeba uživatelská jména a hesla pro různé služby či pro internetové bankovnictví. V rámci TestFlight navíc zcela nepochopitelně chybí jakákoliv notifikace o tom, že se do iPhonu na pozadí automaticky nainstalovala nová klávesnice s plným přístupem k telefonu.
Takto vypadá situace na straně útočníka. Veškeré informace zadané na klávesnici iPhonu má doslova jako na zlatém podnose
A protože tento „spyware na klíč“ stojí na darknetu jen zhruba 30 dolarů (680 Kč), existuje reálná šance, že se může podobná technika odposlechu klávesnice mezi uživateli iPhonů (resp. vývojářů aplikací pro iOS) rychle rozšířit. A pokud jste si v minulosti instalovali nějaké testovací aplikace přes TestFlight, rozhodně si zkontrolujte, že v systému nemáte žádnou klávesnici „navíc“.
Jak zjistit keylogger
Přejděte v iPhonu do Nastavení – Všeobecné – Klávesnice – Klávesnice, kde budete mít standardně k dispozici jen dvě klávesnice. Českou a Emotikony. Pokud budete mít v seznamu ještě jinou klávesnici, o které víte, že jste si ji rozhodně nepřidávali, a po rozkliknutí má zaškrtnutý „Plný přístup“, okamžitě ji odeberte. Stiskněte tlačítko Upravit v pravém horním rohu a u dané klávesnici stiskněte červenou ikonu se značkou minus. Poté klikněte na Smazat.
Dostupné klávesnice se ukáží i při podržení tlačítka se smajlíkem nebo glóbusem na defaultní klávesnici. Pokud jich je v nabídce více a nepoznáváte je, může se jednat o keylogger. A dokonce je možné, že data sbírá zrovna ta klávesnice, kterou teď používáte...
Co by mohl Apple udělat lépe? Stačilo by, aby pro aplikace na TestFlight používal stejné bezpečnostní mechanismy, jako u aplikací na App Storu. Nejefektivnější by však zřejmě byla notifikace o nově nainstalované klávesnici, která by se uživateli objevila v náhodném časovém odstupu do 24 hodin od instalace. Tu by totiž podvržené aplikace nedokázaly tak snadno detekovat a automaticky ji „odkliknout“.
Zdroj: Certosoftware