Angribere bruge aktivt den friske Checkm8 jailbreak til deres egne formål

Cisco Talos eksperter advarede brugere, angriberne er aktivt bruger Checkm8 jailbreak.

ENt slutningen af ​​september 2019, en informationssikkerhed forsker kaldet axi0mX offentliggjort en udnytte, egnet til jailbreaking af stort set alle Apple enhed med A5 til A11 chips udgivet mellem 2011 og 2017.

Udviklingen blev kaldt Checkm8 og er meget betydelig, som den udnytter en sårbarhed i bootrom, og forfatteren selv beskriver sin udnytte som ”permanent og uoprettelig”.

Nu, Cisco Talos eksperter har advaret at angriberne ikke har ignoreret denne begivenhed og er allerede snylter på Checkm8.

”Nogle brugere ønsker at jailbreake deres enheder, fordi det giver dem mulighed for at udføre en masse ekstra handlinger på deres enheder, som Apple har låst ned. Dette kan være simple opgaver som SSHing (fjernstyre adgang) iOS-enheden, skiftende ikoner og temaer på iOS-enheden, og også for ulovlig anvendelse som piratkopieret software og spil”, - skrive Cisco Talos forskere.

Forskere opdagede sitet checkrain[.]med, som efterligner den ressource checkra1n[.]med, på hvilken en gruppe af informationssikkerhed entusiaster (herunder axi0mX selv) har planer om at udgive den første brugervenlige jailbreak værktøj baseret på Checkm8. Selvom forskerne endnu ikke har udgivet deres værktøj, svindlere allerede tager fordel af situationen.

Den falske hjemmeside bruges til at distribuere .mobileconfig konfigurationsfil. Når den er installeret på ofrets enhed, denne fil tilføjer en genvej til brugerens skærm. Når du har klikket på genvejen, en hovedløs browser (browser uden elementer i brugergrænsefladen) lanceres, som indlæser siden fra den fidus websted, foregiver at være en indfødt ansøgning.

Denne maskeret side bruger JavaScript og CSS animationer til at simulere processen med jailbreaking en anordning. Når animationen slutter, webstedet beder brugeren om at installere spillet og nå ottende niveau i den i en uge, angiveligt for at fuldføre jailbreak processen og låse enheden.

Læs også: Angribere udnyttet en 0-dages iTunes sårbarhed til at sprede ransomware

Med denne ”legende,”Ofre kan tilbydes at installere flere forskellige spil, og alle af dem er legitime applikationer faktisk hostes på iOS App Store. Det er, denne svigagtig ordning ikke anvendes til at distribuere malvari, men er med til at tjene penge både for operatørerne af den falske hjemmeside og for deres partnere, der udvikler disse spil og købe sådan “reklame” for dem selv.

Forskere bemærke, at for en mere eller mindre teknisk uddannede bruger, alt dette vil se ud komplet nonsens, men svindlere normalt bytte om brugere, der ikke har teknisk viden.

Anbefalinger fra Cisco Talos

Denne ondsindet websted blot fører til at klikke svig. Men den samme teknik kunne anvendes til flere ondsindede og kritiske handlinger. I stedet for en “web klip” profil, angriberne kunne implantere deres egen MDM tilmelding. Vi har tidligere opdaget iOS ondsindede MDM kampagner her, her og her. Vi anbefaler stærkt at aldrig installere en ukendt profil fra internettet.

Talos anbefaler følgende metoder til at kontrollere, om din telefon har yderligere profiler eller er indskrevet i en MDM-platformen:

  1. Brugere kan se begrænsninger fastsat af MDM-profiler i Indstillinger > Generel > Profiler & Device Management > [MDM-konfiguration] > Begrænsninger
  2. Brugere kan også kontrollere, hvilke programmer har en MDM profil installeret på deres enhed på Indstillinger > Generel > Profiler & Device Management > [MDM-konfiguration] > Apps.

Polina Lisovskaya

Jeg har arbejdet som marketingchef i årevis nu og elsker at søge efter interessante emner for dig

Efterlad et Svar

Tilbage til toppen knap