Есть ли вирусы на iOS?

#Полезное

Операционная система iOS — одна из немногих мобильных платформ, для которых не существует антивирусов. Несмотря на большую популярность айфонов и айпадов, разработчики антивирусных программ не в состоянии освоить эту привлекательную для них нишу в силу архитектурных особенностей iOS: операционная система просто не предоставляет прикладным программам доступ к файловой системе, без которого никакая антивирусная проверка невозможна в принципе. Кроме того, большинство владельцев мобильных устройств от Apple уверены, что вредоносных программ для iOS не существует в природе. Так ли это? Давайте разберемся есть ли вирусы на iOS.

Есть ли вирусы на iOS? 

Всеми известный факт: все приложения в iOS выполняются в так называемой песочнице — изолированной среде, из которой они не могут получить непосредственный доступ к компонентам ОС и других программ. Это обеспечивает высокую безопасность операционной системы: при работе в песочнице приложение взаимодействует только с собственными данными и ресурсами, поэтому вредоносной программе попросту негде будет разгуляться. 

Кроме того, Apple разрешает установку приложений на устройства с iOS исключительно из собственного каталога App Store, куда они попадают после довольно пристальной проверки. «Несчастные» владельцы айфонов лишены даже привычной пользователям Android функции «разрешить установку приложений из неизвестных источников» — если нужной программы нет в App Store, ее, скорее всего, не будет и на вашем телефоне. 

С другой стороны, подобные жесткие ограничения лишают владельцев iOS (iPhone и iPad) целого ряда полезных возможностей. Если ваш iPhone относится к устаревшему модельному ряду и его ОС уже успела устареть, рано или поздно вы столкнетесь с полной невозможностью установить или обновить нужное вам приложение через магазин App Store. 

Однажды ваша любимая программа откажется запускаться, сообщив, что разработчики давным-давно выпустили для него новую версию, которую пора поставить вместо текущей. По нажатию на кнопку «Обновить» запустится приложение App Store и радостно сообщит, что для установки новой версии интересующего вас вас софта требуется ОС поновее. Наконец, отправившись в раздел «Настройки», вы с удивлением обнаружите, что на вашем устройстве уже стоит самая актуальная версия операционной системы iOS, а чтобы использовать более современную, придется сбегать в соседнюю лавку за новым айфоном. Круг замкнулся, как любил говорить один бывший джедай.

Выходов из такого тупика существует ровно два. Первый — продать на черном рынке почку и таки купить себе новый телефон с надкусанным яблоком на корпусе, затаив надежду, что он не утратит своей актуальности в течение следующих нескольких лет. Второй путь — джейлбрейк. Под этим непонятным словом подразумевается банальный взлом операционной системы, позволяющий получить не санкционированный производителем телефона доступ к файловой системе, а кроме того, устанавливать приложения из сторонних каталогов приложений (репозиториев) или в некоторых случаях напрямую с компа. 

Джейлбрейк, конечно же, не превратит ваш четвертый айфон в десятый и не даст возможности использовать на древнем железе самую последнюю редакцию iOS. Но зато позволит отыскать и установить на смартфон старую версию необходимого вам приложение, которая пусть и не сможет похвастаться современным набором функций, но зато будет хотя бы стабильно работать. 

Существует и еще одна лазейка, позволяющая почти официально устанавливать на айфоны и айпады различный приложения в обход App Store. Называется она Mobile Device Management (MDM). Это набор инструментов, дающий возможность управлять устройствами с iOS в корпоративной среде. Используется он, в частности, для установки на «яблочные» устройства сотрудников фирм различных «внутренних» приложений, не предназначенных для широкого распространения вне компании. 

Такие программы можно доставлять на устройства с iOS без необходимости загружать их в App Store и проходить мучительную проверку. Очевидно также, что любое приложение на айфон этим способом установить не получится: метод имеет целый ряд естественных ограничений, призванных исключить возможное его использование хакерами. 

Означает ли все это, что существование вирусов для iOS невозможно в принципе и пользователи устройств от Apple могут чувствовать себя в полной безопасности? Нет. Вирусы для iOS как тот легендарный суслик: не видны, но все-таки есть. Далее я расскажу о самых известных технологиях распространения вирусов для iOS. 

Способы распространения вирусов на iOS 

К 2013 году, когда мобильные телефоны производства Apple уже прочно заняли свою нишу на мировом рынке, а в розничной продаже появился iPhone 5s, специалистам по информационной безопасности было известно около 50 шпионских программ для iOS. Практически все они предназначались для аппаратов с джейлбрейком, и практически все распространялись через «пиратский» репозиторий Cydia — альтернативный каталог приложений для взломанных устройств iOS. 

Пользователь мог подцепить шпиона на своем телефоне либо по незнанию (некоторые были представлены в каталоге под вполне нейтральными названиями), либо в результате целенаправленной атаки, если какой-то доброжелатель решил, например, помочь неофиту с настройкой телефона. 

Упомянутые программы обладали вполне традиционным для вредоносных программ набором функций: кража SMS и истории звонков, контактов и фотографий, истории браузера, передача GPS-координат. Более продвинутые шпионы фиксировали информацию о совершенных звонках, могли записывать аудио с помощью встроенного микрофона, делать по команде с сервера фотоснимки, копировать сообщения электронной почты и переписку в социальных сетях, которую пользователь вел при помощи приложений-клиентов. Вся информация отсылалась на управляющий сервер, где ее можно было получить в удобной и доступной форме.

Создать карусель

Такие шпионы не создавали в системе значок приложения. По желанию в них можно было активировать только часть функций, чтобы снизить вероятность обнаружения программы пользователем. Наиболее популярным шпионским ПО для iOS в те времена считались SpyBubble, TopSpy, Tracker, OwnSpy, TruSpy и FlexiSpy. 

Но все эти приложения никак нельзя было назвать полноценными троянами для слежки, поскольку, во-первых, их необходимо было устанавливать на устройство вручную, во-вторых, для этого требовался джейлбрейк и, в-третьих, многие из них продавались в интернете фактически легально в качестве средств родительского контроля или контроля над сотрудниками предприятия. 

Вирусы для iOS с помощью технологии MDM 

Из-за параноидальных механизмов безопасности, которые Apple применяет в архитектуре своей мобильной ОС, создание полноценных вредоносных программ для этой платформы оказалось делом трудозатратным, однако сюрпризом для специалистов все-таки не стало. Если в iOS нельзя зайти через дверь, можно вломиться через окно — примерно так подумали злоумышленники и для распространения троянов начали применять тот самый механизм дистрибуции приложений MDM с использованием корпоративных сертификатов. 

Работает это вкратце так. Для начала требуется развернуть специальный MDM-сервер, получить для него сертификат Apple Push Notification Service (APNs-сертификат) и установить его на этом сервере. Затем следует создать специальный конфигурационный профиль, фактически представляющий собой видоизмененный .plist-файл, который следует доставить на девайс с iOS. Устройство получает с сервера push-уведомление, устанавливает с сервером TLS-соединение и после проверки сертификата авторизуется на нем. 

После этого сервер может передать устройству набор настроек (MDM Payload), привязанный к его конфигурационному профилю. При этом MDM-сервер необязательно должен находиться в одной сети с мобильным устройством, достаточно, чтобы он был доступен извне по протоколу HTTPS. В результате с использованием MDM-сервера становится возможным управлять iOS-устройством и устанавливать на него приложения в обход App Store. 

Все это подразумевает серьезные пляски с бубном, но теоретически открывает лазейку для MITM-атак. С использованием этой технологии вполне можно реализовывать таргетированные «точечные» атаки, что было доказано на практике летом 2018 года. Кроме всего прочего, злоумышленником может оказаться, например, обиженный сотрудник компании, использующей MDM, если он имеет доступ к серверу. 

Говорят, именно таким способом у одной известной американской фирмы была похищена клиентская база и переписка с контрагентами, которая впоследствии утекла к конкурентам вместе с одним из бывших работников. Кажется, что массовое распространение вредоносного ПО с привлечением технологии MDM организовать невозможно. Однако это не так. 

С использованием MDM в 2015 году была устроена крупнокалиберная раздача трояна YiSpecter, прятавшегося в клиентском приложении — видеоплеере для просмотра пoрнoграфии. Распространялся он преимущественно в Китае под видом форка популярного в этой стране пoрнoплеера QVOD, разработчиков которого в 2014 году накрыла китайская полиция. Следуя инструкции, найденной на просторах интернета, юзеры сами копировали на свой девайс необходимые профили и сертификаты, чтобы получить возможность бесплатно скачивать на телефон коммерческие или «запрещенные» в их стране приложения, за что и поплатились. 

Кроме того, разработчики трояна организовали целую партнерскую программу, в рамках которой платили по 2,5 юаня за каждую установку протрояненного софта. Предложением тут же воспользовались многочисленные «подвальные» сервис-центры по ремонту айфонов и фирмочки, специализирующиеся на продаже восстановленных «яблочных» устройств, и стали втихаря добавлять в систему благодарным клиентам необходимые компоненты. С паршивой овцы, как говорится, хоть шерсти клок. 

В результате обладателями айфонов «с сюрпризом» стали тысячи ни о чем не подозревающих китайцев.

Так распространялся iOS-троян YiSpecter

YiSpecter устанавливал на устройство специальный модуль, который докачивал компоненты вредоноса, если их удаляли, и по команде ботоводов мог втихую удалять с телефона любые программы, заменяя их троянизированными копиями. Нужный софт он получал с собственного MDM-сервера. 

Пользователь не замечал подвоха, поскольку подмененные трояном клиенты социальных сетей и мессенджеры работали как обычно, время от времени отстукиваясь на управляющий сервер и скидывая туда конфиденциальную информацию, включая переписку и учетные данные жертвы. Кроме всего прочего, троян мог показывать на экране зараженного устройства полноэкранную рекламу, благодаря чему, собственно, и был обнаружен. 

В общем-то понятно, что таким способом трудно организовать массовое заражение iOS-устройств, хотя у китайцев это почти получилось. Важно другое: YiSpecter был одним из первых настоящих вирусов, способных заразить айфон без джейлбрейка. 

Вирусы для iOS с помощью технологии DRM 

Трояны, не использовавшие для распространения MDM, появились оттуда же, откуда является большинство оригинальных разработок в сфере IT, — из Китая. Здесь сошлись воедино алчное стремление Apple зарабатывать как можно больше на распространении приложений для iOS и непреодолимая страсть некоторых пользователей к халяве. 

Как известно, приложения для iPhone следует в обязательном порядке приобретать в официальном магазине App Store — по крайней мере, так считают в Apple. Если программа честно куплена на этом ресурсе и числится на аккаунте пользователя, он может установить ее на телефон позже, присоединив последний к компьютеру при помощи шнура USB-Lighting и воспользовавшись программой iTunes. 

При запуске программа проверит Apple ID пользователя и запросит код авторизации, чтобы убедиться, что устанавливаемое на мобильный девайс приложение было действительно приобретено этим пользователем законным образом. Для этого используется разработанная Apple технология Digital Rights Management (DRM).

Для обхода этой проверки хитрые китайцы придумали специальную программу, которая эмулирует действия iTunes. Купив приложение в App Store, создатели этой программы перехватывают и сохраняют код авторизации при помощи уязвимости в реализации DRM, после чего передают его всем остальным пользователям своего приложения. 

В результате те получают возможность установить на свой айфон или айпад программу, за которую не платили. Одно из таких приложений носит наименование Aisi.

Aisi позволяет пользователям «яблочных» устройств не только устанавливать нелегальный софт, но и обновлять и создавать резервные копии прошивки, делать джейлбрейк, закачивать на телефон рингтоны и различный мультимедиаконтент. 

Предварительно китайские создатели вирусов и разместили в App Store небольшую утилиту, позволяющую менять обои на устройстве с iOS. Утилита благополучно прошла все проверки Apple, даже несмотря на то, что скрывала в себе одну потенциально опасную функцию, которая активизировалась, правда, при совпадении ряда внешних условий — наверное, потому ее и не заметили. 

После присоединения девайса к компьютеру и включения режима «доверия» между устройствами Aisi с помощью описанной выше технологии скрытно устанавливала в iOS ту самую утилиту, сообщив девайсу, что она якобы была ранее куплена пользователем в App Store. При запуске приложение требовало ввести данные учетки Apple ID. Эта информация тут же передавалась на управляющий сервер. 

Дальше, в общем-то, с девайсом можно сотворить много интересного: утечка Apple ID открывает перед потенциальными злоумышленниками массу возможностей. Например, можно сменить пароль, залочить устройство и потребовать у его владельца выкуп за разблокировку как это делают шифровальщики. А можно получить доступ к хранилищу iCloud и полюбоваться чужими фотографиями из отпуска. Это в лучшем случае. 

Выводы 

Несмотря на то что iOS действительно очень защищенная и безопасная операционная система, мы видим, что вирусописатели смогли отыскать лазейки и в ней. Правда, все они без исключения представляют собой тесный симбиоз технических приемов и социальной инженерии. Разработчики вирусов для айфонов и айпадов работают именно в этом направлении — играя на наивности или алчности владельцев «яблочных» телефонов. 

Впрочем, интерес к ним неудивителен: считается, что покупатели недешевых телефонов производства корпорации Apple достаточно состоятельны, чтобы у них было чем поживиться. Поэтому пользователям таких устройств нужно проявлять особую бдительность и осторожность: в любой момент они могут оказаться под прицелом злоумышленников, ведь технологии не стоят на месте.