Традиционно принято считать, что модерация мобильных приложений для включения в каталог Apple AppStore происходит очень тщательно, и провести туда зловреда невозможно. Специалистам по безопасности из Технологического института Джорджии (США) удалось доказать обратное. Они успешно поместили приложение в AppStore и сумели реализовать в нем вредоносную функциональность с помощью ROP-атаки (атака возврата в библиотеку, Return Oriented Programming). Грамотно проведенная ROP-атака позволяет обойти и защиту с помощью цифровой подписи в AppStore, и механизм защиты DEP, что и сделал автор программы Тиелей Ванг (Tielei Wang) с коллегами из Технологического института Джорджии.
Процедура предварительной проверки для AppStore долгое время оставалась секретом. Теперь завеса тайны приоткрылась. По крайней мере, мы знаем, что провести вредоносное приложение через модерацию действительно возможно. ROP-атака позволяет скрыть вредоносные функции и от ручной модерации, и от автоматической модерации типа статичного анализа кода.
Программу под названием Jekyll разместили в каталоге под видом приложения для чтения университетских новостей. Фрагменты кода активировались после установки и с удаленного сервера скачивался апдейт, который добавлял в программу различную функциональность: публикация твитов от имени жертвы, рассылка почтовых писем, передача на сервер персональной информации пользователя и идентификатора устройства, съемка фотографий и т.д.
Программу Jekyll опубликовали в марте 2013 года. Авторы скачали ее на свои устройства, после чего быстро удалили приложение из каталога. За пару минут его никто не успел купить.
По мнению исследователей, процедура проверки приложений осуществляется недостаточно тщательно, компания Apple должна усовершенствовать ее.
Доклад с описанием работы по изучению AppStore “Jekyll on iOS: When Benign Apps Become Evil” опубликован 16 августа на конференции Usenix в Вашингтоне. Представители компании Apple сообщили, что уже предприняли «определенные действия», чтобы исправить ситуацию, описанную в докладе.
По мнению независимых специалистов, к такому вектору атаки уязвимы все мобильные платформы, для защиты требуется отслеживать поведение программы на мобильном телефоне после ее установки.