חשבונות iCloud של כרבע מיליון מכשירים פרוצים נגנבו

ע״י

חשבונות ה- iCloud של כמעט רבע מיליון משתמשי אייפון ברחבי העולם נגנבו, דרך רוגלה שהותקנה ממקור מפוקפק על מכשירים פרוצים.

 

 

iCloud-Breach-1024x763

אין ספק שלפריצה יש יתרונות רבים, אולם גם לא מעט חסרונות והגדול שבהם הוא סיכון האבטחה של המכשיר, שנגרם כחלק מפריצת מנגנוני האבטחה של מערכת ההפעלה iOS. יש לציין שפריצת האייפון ו/או האייפד לא הופכת את המכשיר לפגיע באופן מיידי ברוב המקרים, אם כי בתחילת דרכם של קבוצות הפריצה הסיניות עלו ספקות לגבי התמריצים שלהם להציג את הפריצה ובהתאם לכך גם שאלות לגבי אמינותם מבחינת נושא האבטחה. כך שכדי לפגוע באופן מהותי באבטחה של האייפון או האייפד, המשתמשים צריכים להוריד ולהתקין תוספים או תוכנות זדוניות ממקורות מפוקפקים, דבר שמשתמשי אנדרואיד חווים בעצמם. לאחרונה דווח על ידי האתר iDB כי פלטפורמת המידע הסינית WooYun, המתמקדת בתחום האבטחה ומאפשרת לחוקרי אבטחה ופעילים בתחום האבטחה להציג את מחקריהם ולתת משוב עליהם, דיווחה על פריצת אבטחה לחשבונות iCloud של מאות אלפי משתמשים סיניים. זמן קצר לאחר מכן חברת האבטחה Palo Alto Networks דיווחה בעצמה על פריצת האבטחה שזכתה לכינוי KeyRaider.

בדיווח צוין כי הרוגלה פועלת ברקע והיא למעשה מיירטת תקשורת בין המכשיר לבין שרתי ה- iCloud של אפל, כשהיא מתמקדת בשמות המשתמש, ססמאות ומידע נוסף מהשרתים של אפל, בדגש על איטיונס. בדיקה מעמיקה יותר גילתה שהרוגלה הגיעה מתוסף שמקורו בחנות הסידיה, אולם מסתבר שכדי להתקין את התוסף יש להוסיף את המקור הלא רשמי: apt.feng.com/aptso. מקור זה נמצא בעיקר בשימוש בקרב משתמשי אייפון סיניים ובהתאם לכך נראה כי מבין 225,000 החשבונות שנפרצו, רובם המכריע הם חשבונות של משתמשי אייפון סיניים אולם ניתן למצוא גם משתמשים מעוד כ- 17 מדינות שונות ביניהן צרפת, רוסיה, יפן, ארצות הברית ואפילו ישראל. המשותף ביניהם הוא כאמור העובדה שמדובר במשתמשים שפרצו את המכשירים שלהם והתקינו את התוסף הזדוני.

האתר iDB מסביר מדוע היקף המשתמשים הסיניים הוא הגבוה ביותר מבין אלו שנפגעו מהרוגלה, כאשר נראה שבניגוד למדינות אחרות בהן נושא הפריצה הוא לא כל כך פופולרי וגם אם כן, שהרי רוב המשתמשים פורצים את המכשירים שלהם בעצמם, בסין הדבר לא כך ומשתמשים רבים עושים שימוש בגורמים חיצוניים לפרוץ את המכשירים שלהם ולהתקין עבורם תוספים כאלה ואחרים. מה שמביא את המשתמש למצב בו הוא כלל לא מודע מה מותקן על המכשיר שלו ומה ההשלכות עשויות להיות.

640-2

חלק מקוד הרוגלה

ההשלכות של KeyRaider הן בעיקר גישה לחשבונות האיטיונס של המשתמשים, דבר שיכול להביא למצב בו ההאקרים יכולים לבצע רכישות ולרוקן את החשבונות של המשתמשים מבלי ידיעתם. אולם החוקרים מזהירים שהנוזקה יכולה גם להפוך ל-Ransomware, כלומר, ההאקרים יוכלו לנעול מרחוק את המכשיר ולדרוש מהמשתמשים "כופר" תמורת פתיחתו מחדש. שימושים נוספים אפשריים לרוגלה הם אפשרות "לדחוף" לעשרות אלפי משתמשים אפליקציות מהאפסטור, וכך לעזור להן לעלות בדירוגי החנות; אפשרות לספאם ממוקד; אפשרות לפרוץ מכשיר ולמחוק אותו מרחוק, מה שמתאים כמובן לגנבי אייפונים, שיוכלו לבצע את הפעולות הללו בעזרת שמות המשתמש והסיסמאות; ולבסוף, בפני התוקפים גם אפשרות להשתמש בפרטים הללו לצורך פריצה עתידית. על פי Palo Alto networks, אפל כבר קיבלה תלונות של משתמשים שגילו רכישות באפסטור שלא ביצעו וכן של משתמשים שנדרשו לשלם כופר תמורת פתיחת המכשיר.

נתון מדאיג במיוחד הוא שעל פי המחקר, כ-20 אלף איש הורידו את הקוד שמאפשר לנצל את הפירצה מה שיאפשר להטמיע אותה בתוספים נוספים.

שוב, יש לציין שפריצת המכשיר לבדה לא מסכנת באופן מיידי את האבטחה או את המידע השמור במכשיר, אולם היא מציגה פוטנציאל גבוה לכך ובפרט לאור העובדה ש- KeyRaider מסתובבת לה בחוץ. כדי לוודא שאתם לא נפגעים יש לוודא ש:

  • אפשרתם אימות ב- 2 שלבים בחשבון האיטיונס/ iCloud שלכם.
  • לא להוסיף מקורות לא מוכרים ו/או מפוקפקים בסידיה.
  • אל תתקינו תוספים מחוץ לחנות הסידיה.
  • אל תתקינו אפליקציות ומשחקים מזויפים/ פירטיים בהם האפשרות להמצאות רוגלות הוא גבוה יותר.
WooYun-220000-iCloud-Accounts-leaked-1024x346

סיכום על הרוגלה מהאתר WooYun

אפל מבחינתה עדיין לא הגיבה לנושא, אולם סביר להניח שהחברה פועלת ברקע לטרפד את הרוגלה ויתכן שאפילו בצד השרתים שלה. מה שכן אין ספק שמדובר בניצחון שיווקי לא קטן מבחינתה של אפל, על דעת הקהל לגבי הפריצה. זאת אחרי שבמשך שנים אפל פועלת נגד הפריצה ומזהירה מפני הסכנות הטמונות בה.

להמשך דיון

 

מקורות: Palo Alto Networks ו- iDB
עריכה, תרגום ותוספות: natisho