Хакер #305. Многошаговые SQL-инъекции
Специалистам по безопасности удалось одурачить 8000 пользователей iPhone и
смартфонов на базе ОС Android, обманным путем заставив их загрузить приложение
для просмотра данных прогноза погоды. После этого все они были объединены в
состоящий из смартфонов ботнет.
Дерек Браун и Даниэль Тиджерина из TippingPoint Digital Vaccine Group
рассказали о результатах своего эксперимента в ходе специальной презентации на
конференции по компьютерной безопасности RSA Conference. По их словам, цель
работы заключалась в том, чтобы доказать, насколько легко методы социальной
инженерии, изначально придуманные для применения в Сети против пользователей
персональных компьютеров, могут быть перенесены на смартфоны с возможностью
выхода в Интернет.
Для выполнения поставленной задачи эксперты создали приложение WeatherFist,
которое перед выдачей пользователям результатов привязанного к местности
прогноза погоды собирало с телефонов данные GPS и номера абонентов.
На официальных сайтах приложений для iPhone и Android выкладывать свое
творение исследователи не решились, разместив его на таких сторонних ресурсах,
как Cydia и SlideME. В результате на их удочку попались свыше 8000 жертв, по
большей части – владельцы “разблокированных” аппаратов.
Помимо этого Браун и Тиджерина разработали более вредоносный вариант того же
приложения, который после этого испытали на собственных смартфонах. Эта версия
позволила им собирать данные пользователя и логины, а также рассылать спам и
публиковать подложные обновления на сайтах социальных сетей. Эксперты считают,
что в руках киберпреступников такого рода программы могут стать грозным оружием.