Přihlásit se

Smartphony | iOS | Zabezpečení

Útočníci přišli na zákeřný způsob, jak do iPhonů nahrát škodlivé aplikace. Využili přímo nástroj od Applu

18. března 2022
Historie se opakuje. Na Google Play opět řádí malware, který proklouznul mezi všemi ochrannými bariérami SDÍLET NA FACEBOOKU TWEETNOUT

Apple si už dlouhou dobu hraje na bezpečnou platformu, což obhajuje tím, že nedovoluje do systému instalaci aplikací jiným způsobem, než přes obchod App Store. Přesto se ukázalo, že útočníci dokázali v systémech Applu najít díru a poměrně snadným trikem distribuovat škodlivé aplikace mezi uživatele iPhonů. O případu informovala bezpečností agentura Sophos.

Útočníci totiž k rozšíření aplikace využili známý nástroj Apple TestFlight, který se běžně používá k testování beta verzí aplikací. Vývojáři, kteří chystají vydat novou verzi aplikace mohou tímto způsobem sehnat testery, kteří skrze TestFlight mohou aplikaci před finálním vydáním v AppStoru řádně otestovat. 

Klepněte pro větší obrázek
Takto vypadala falešná aplikace BTCBOX distribuovaná skrze TestFlight (obr.: Sophos)

Aplikací bylo dokonce vícero. Jednalo se o celou kriminální kampaň, kterou Sophos nazývá CryptoRom v rámci níž se útočníci snažili uživatelů doporučovat různé falešné aplikace. Jedna se jménem BTCBOX se například vydávala za japonskou kryptoměnovou směnárnu. Agentura našla i odkazy na testování falešných aplikací, které se vydávali za aplikace těžařské firmy BitFury. 

Nevýhodou je, že všechny tyto aplikace se šířily skrze tento oficiální testovací kanál Applu bez jeho vědomí. Přitom skrze jedné kampaně v rámci Test Flight je možné aplikaci rozšířit až ke stovce uživatelů v rámci interních aplikací, kde probíhá omezenější kontrola, než u AppStoru. V případě veřejného testování, kterým lze oslovit až 10 tisíc lidí však aplikace kontrolou AppStoru neprochází.

Neplecha ukončena. Redkey USB bezpečně smaže všechna data z mobilu i počítače

Neplecha ukončena. Redkey USB bezpečně smaže všechna data z mobilu i počítače

Agentura zaznamenala ještě druhý způsob, jakým se někteří útočníci snažili do iPhonů dostat. Tím byli odkazy na škodlivé webové stránky, které se názvem i vzhledem podobaly některým kryptoměnovým či akciovým aplikacím. Skrze ně pak mohli uživatelé získávat údaje pomocí phishingu. Aktuálně nevíme, kolik lidí mohlo být tímto způsobem podvedeno, nicméně to, o jak jednoduchý způsob šlo je poměrně překvapivé a bude důležité sledovat, jak zakročí Apple. Zatím pouze firma aktualizovala svou stránku s upozorněním a radami, jak se proti phishingu bránit.

Tipy a triky pro iPhone:

Diskuze (3) Další článek: Historie se opakuje. Na Google Play opět řádí malware, který proklouznul mezi všemi ochrannými bariérami

Témata článku: Apple, Smartphony, iOS, Apple App Store, Beta, Zabezpečení, Nástroj, Škodlivá aplikace, AppStore, Uživatelé, Útočník, Aplikace, App Store, Způsob, Test Flight, TestFlight, Telefony s iOS na Heureka.cz




Nejoblíbenější telefony

> Všechny telefony v katalogu mobilů

Poradna

> Vstoupit do poradny
NAPIŠTE NÁMTIP NEBO PŘIPOMÍNKU

Doporučujeme

Galerie fotomobilů

O webu


AVmania.cz

Proč si předplatit Netflix? Třeba kvůli těmto filmům. Všechny mají dabing nebo české titulky

Živě.cz

Nejlepší notebooky do 25 tisíc. Herní, které nezklamou, i příjemné pracovní stroje

iSport.cz

Česká čtvrtfinále v Evropě: drama i šok v Anglii. Napodobí Plzeň Slavii?

Blesk.cz

Student a jeho známkující učitel? Odborník na řeč těla odhalil, co prozradila schůzka Fialy a Bidena

AVmania.cz

25 nejlepších českých porevolučních komedií. Většinu si můžete pustit online

Reflex.cz

Dusno kolem AfD, Bystroňova aféra je jen špičkou ledovce. Spojence má i u nás, nejblíže je Okamurova SPD

Reflex.cz

Prezident NKÚ Kala: Úřady slouží spíš úředníkům než občanům. Byrokracie funguje jako za Rakouska-Uherska

Živě.cz

Světu hrozí „vlhká žárovka.“ Měla dorazit až v polovině století, ale už je tu

Auto.cz

Nová Mazda CX-80 oficiálně: Vlajková loď značky je prodloužená CX-60

SportRevue.cz

FOTO: Ozdoby ringů. Sexy holky, které dělají křoví při zápasech MMA