Когато става дума за сигурност и поверителност, iPhone устройствата са предпочитани пред Android, заради дългогодишните практики и политики, които Apple се стараят да спазват. Вероятно и това е причината много специалисти по сигурност да предпочитат именно телефоните на Apple пред тези с операционната система на Google. Но iPhone потребителите не са имунизирани срещу атаки и тази седмица дойде поредното потвърждение за това.
Екипът за сигурност към Media Trust – Digital Security and Operations Team (DSO) – алармират за вече неактивна кампания по доставяне на зловредна реклама (или малвъртайзинг) към собствениците на iPhone устройства. Първите атаки са били регистрирани през октомври, като са продължили и през ноември. Става дума за изключително сложна атака с помощта на зловредна програма с името Krampus-3PC. Организаторите на атаката използват мрежата на легитимна компания за доставяне на онлайн реклама чрез сайтовете на над 100 популярни издателя, основно на новинарски ресурси. Кодът на Krampus-3PC е достатъчно сложен и добре прикрит, за да остане незабелязан от засегнатите страни и инструментите за защита, които се очаква да предпазват посетителите на техните страници от подобни заплахи.
За съжаление, подобно и на други малвъртайзинг атаки, и за разлика от традиционните вектори за инфектиране, от посетителите на ресурсите не се изисквало изпълняването на някакво действие (като например кликането на връзка), за да бъдат компрометирани – достатъчно е посещението на страницата и зареждането на т.нар. „креативен таг“ на рекламата – скрипт, вграждан от сървъра на рекламната компания в изходния код на сайта.
Това, което прави в началото Krampus-3PC е да провери дали рекламата бива поставена и доставена според нейните нужди. Следва втора проверка – дали устройството, с което бива посетена страницата е iPhone или не. Ако е Android, зловредния код не бива изпълняван. Ако е iPhone, то се зарежда изскачащ прозорец, тактика, която е подкрепена от резервен вариант – ако изскачащия прозорец не се зареди, то се отваря адрес, съдържащ зловредния код в страничен таб на браузъра. Следват и действията на Crampus, които се изразяват в достигането на различен по вид информация, като геолокация, идентификационния номер на бисквитката, локалните данни, свързани със страницата, поставени на устройството.
„Идентификационния номер на бисквитката помага на Krampus-3PC да превземат браузъра и ако потребителят е отворил в момента други сайтове на устройството си, като например страницата на тяхната банка или любимия си онлайн магазин, да достигнат акаунтите му. Достъпът до сесийната бисквитка позволява на доставчикът на вредоносната реклама да се впише в тези акаунти на един по-късен етап“, пишат от Media Trust.
След уведомяването на засегнатата рекламна платформа, атаките са спрени, но както и подчертават от Forbes, няма гаранция, че те няма да се възобновят, атакувайки друг голям доставчик на онлайн реклама.
Crampus-3PC представлява пример за атака към дигиталните линии за доставка, при която нито крайният потребител, нито администриращият онлайн ресурса носи вина за това, че е станал жертва на атаката. Media Trust препоръчва на компаниите за доставка на реклама да използват най-добрите практики за защита в сектора за проактивно засичане на сходни заплахи с цел предпазване на своите партньори, клиенти и крайните потребители.
