Η εταιρεία ασφαλείας FireEye έχει ανακαλύψει μια κακόβουλη έκδοση του Vpon advertising SDK που παρέχει υποστήριξη για παρεμβατικές εντολές που μπορούν να επιτρέψουν σε έναν τρίτο από μακριά να πάρει τον έλεγχο των iOS συσκευών.
Vpon είναι το όνομα μιας SDK διαφήμισης που παρέχεται σε προγραμματιστές από την Κίνα και την Ταϊβάν. Το SDK δημιουργήθηκε για να απλοποιήσει τη διαδικασία ενσωμάτωσης των Vpon διαφημίσεων σε iOS εφαρμογές.
Το SDΚ χτίστηκε χρησιμοποιώντας το Apache Cordova, ένα framework προγραμματισμού για κινητά για την ανάπτυξη εφαρμογών για κινητά με τη χρήση σύγχρονων τεχνολογιών, όπως τα HTML5 και JavaScript.
Σύμφωνα με τη FireEye, το Vpon SDK περιλαμβάνει λειτουργίες που επιτρέπουν σε έναν κακόβουλο τρίτο να καταγράφει ήχο ή βίντεο, να λαμβάνει στιγμιότυπα οθόνης μιας συσκευής iOS, να παίρνει τα geolocation δεδομένα της συσκευής, να αποκτήσει πρόσβαση στο αρχείο διευθύνσεων, να αλληλεπιδρά με τις εφαρμογές, ακόμα και να κλέβει και στη συνέχεια να φορτώνει τα δεδομένα από τη συσκευή σε έναν απομακρυσμένο διακομιστή.
Η FireEye λέει ότι αυτές οι λειτουργίες υλοποιούνται με τη βοήθεια των Apache Cordova plugins, αλλά είναι απενεργοποιημένα στην τελική έκδοση του SDΚ και οι προγραμματιστές δεν μπορούν να έχουν πρόσβαση σε αυτά.
Ωστόσο, υπάρχει ένα μέρος όπου οι προγραμματιστές μπορούν να αποκτήσουν πρόσβαση σε αυτές τις λειτουργίες, παρά τα μέτρα προστασίας του Vpon. Οι προγραμματιστές μπορούν να πάρουν μια περιορισμένη έκδοση του SDK μέσω της υπηρεσίας AdsMogo, έναν συλλέκτη διαφόρων SDK διαφημιστικών.
Η FireEye λέει ότι ανιχνεύθηκαν 36 εφαρμογές στο επίσημο App Store που χρησιμοποιούν το Vpon SDK, που προσφέρεται μέσω AdsMogo.
Η εκμετάλλευση αυτών των εφαρμογών μπορεί να γίνει μέσω μιας απλής εντολής που παραδίδεται μέσω του JavaScript κώδικα μιας διαφήμισης. Η ευάλωτη εφαρμογή, στην οποία αυτή η διαφήμιση είναι ενσωματωμένη, διαβάζει τα αρχεία JavaScript της διαφήμισης χρησιμοποιώντας το Vpon SDK, το οποίο στη συνέχεια μεταφράζει τον κώδικα σε μια κακόβουλη ενέργεια που βασίζεται στις εσωτερικές του ρουτίνες. Τα Apache Cordova plugins μπαίνουν στο παιχνίδι μεταφράζοντας αυτές τις JavaScript εντολές σε Objective-C κώδικα, που ενεργεί ως μεσάζων.
Η FireEye λέει ότι δεν εντόπισε οποιαδήποτε προσπάθεια εκμετάλλευσης μέσω αυτού του SDK, αλλά είπε ότι η Apple παρέλειψε να αφαιρέσει τις αναφερόμενες εφαρμογές.
Επιπλέον, η εταιρεία ασφαλείας λέει ότι το Vpon έχει παραμείνει απαθές σε όλες τις προσπάθειες επικοινωνίας και ότι οι παρεμβατικές λειτουργίες εξακολουθούν να υπάρχουν στο SDK του, έστω και αν περιορίζονται στην επίσημη έκδοση.
Επειδή το SDK πραγματοποιεί επικοινωνίες μέσω HTTP, ο εισβολέας δεν πρέπει απαραίτητα να «υπακούει» στις διαταγές των Vpon servers, αλλά μπορεί να εκτελέσει απλά MitM σενάρια και να παραδώσει κακόβουλες οδηγίες σε κοντινές συσκευές.
“Ένας τρίτος πάροχος διαφημίσεων, το Vpon, στοιβάζει επιθετικό και επικίνδυνο κώδικα στις εφαρμογές που το εγκρίνουν ως ad-serving πλατφόρμα”, σημείωσαν οι Jing Xie και Jimmy Su της FireEye. “Τρίτες βιβλιοθήκες – κυρίως βιβλιοθήκες διαφημίσεων – συχνά δεν ελέγχονται από την κοινότητα Είναι σύνηθες και αναμενόμενο ότι οι προγραμματιστές εφαρμογών μπορούν να ενσωματώνουν τρίτες βιβλιοθήκες στις εφαρμογές τους, έτσι οι προγραμματιστές θα πρέπει να είναι προσεκτικοί.”
Πέρυσι, υπήρξαν και άλλες αρκετές περιπτώσεις που οι ερευνητές ασφαλείας βρήκαν παρόμοια κακόβουλα διαφημιζόμενα SDK, αλλά για το λειτουργικό σύστημα των Android.
