Ewolucja złośliwego oprogramowania IV-VI 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

"Ponieważ luka ta może zostać uruchomiona ze stron internetowych, problem ten może dotknąć każdego, kto posiada iPhone'a" - powiedział Bill Hoffman, analityk z firmy SPI. To oznacza, że mamy do czynienia z poważną luką.

iPhone posiada wiele charakterystycznych cech, które mogą skomplikować życie twórcom wirusów. Po pierwsze, może wykorzystywać Bluetootha tylko w celu połączenia się z urządzeniami w technologii Bluetooth. Bluetooth nie może być używany do przesyłania plików lub synchronizowania telefonu z komputerem osobistym. Właściwość ta stawia pod znakiem zapytania możliwość istnienia robaków takich jak Cabir (które atakują system Symbian). Brak możliwości przesyłania plików za pośrednictwem Bluetootha z pewnością pozbawi przyszłe robaki ich najważniejszego sposobu rozprzestrzeniania się.

Drugim ograniczeniem jest brak możliwości wysyłania MMS-ów. Funkcja ta, (a konkretnie jej brak) wywołała sporo krytyki ze strony użytkowników, jednak dla wirusów oznacza to to samo, co dla robaków oznacza brak możliwości przesyłania plików za pomocą Bluetootha. Jeśli wykluczy się MMS-y, odpadnie druga najbardziej popularna metoda rozprzestrzeniania mobilnych szkodliwych programów. Dlatego, według autrów artykułu, ComWar, robak atakujący system Symbian, prawdopodobnie nie przedostanie się do iPhone'a.

Bez wątpienia są to jedne z głównych ograniczeń. Najbardziej interesujące jest jednak to, że nie są one wynikiem zbadania przez firmę Apple potencjalnych problemów z robakami mobilnymi lub jej decyzji zwiększenia bezpieczeństwa urządzenia.

Biorąc pod uwagę powyższe, można wysunąć wniosek, że szkodliwe programy dla iPhone'a mogą zacząć pojawiać się w następnym roku, jednak prawdopodobnie nie będą to robaki. Najprawdopodobniej będą to typowe wirusy plikowe oraz różne trojany. Największym zagrożeniem dla użytkowników iPhone'a będą różne luki w zabezpieczeniach, które mogą być wykorzystane przez szkodliwych użytkowników w celu uzyskania dostępu do informacji przechowywanych w telefonie.

Mpack

W połowie czerwca media z branży bezpieczeństwa IT zostały zbombardowane doniesieniami z Włoch. Okazało się, że kilka tysięcy włoskich stron internetowych stanowi źródło rozprzestrzeniania się szkodliwych programów. W ciągu kilku dni na ponad sześciu tysiącach serwerów znaleziono strony zawierające kilka linijek kodu HTML, który nie został dodany przez ich właścicieli. Kod wyglądał mniej więcej tak (istnieje wiele wariantów, w których rozmiar pływającej ramki (szerokość/wysokość) został przedstawiony jako zero, jeden itd.):

< iframe src=address’ width=5 height=5 > < / iframe >

Eksperci z firmy Kaspersky Lab wiedzieli o tych ciągach już od kilku lat. Są to typowe konstrukcje stosowane w celu wykorzystania luk w zabezpieczeniach przeglądarek. Strona internetowa wskazana w polu "adres" pełni funkcję przekierowania do następnej strony zawierającej exploit lub sama w sobie jest odpowiedzialna za przeprowadzenie infekcji.

Znacznik < iframe > od dawna stanowi jedną z najczęściej stosowanych w takich przypadkach technik. Otwiera on nowe okno przeglądarki, a gdy rozmiar okna jest ustawiony na zero, użytkownik może go nie zauważyć. W rezultacie, exploit może zostać wykorzystany niepostrzeżenie, a użytkownik nie będzie nawet podejrzewał, że odwiedza jakąś inną stronę oprócz tej w oknie głównym.

Poniżej przedstawiono kilka przykładów:

We wrześniu 2006 roku analitycy z firmy Kaspersky Lab otrzymali raport o dziwnym zachowaniu przeglądarki internetowej podczas otwierania przez użytkowników stron top.rbc.ru: Internet Explorer, nawet całkowicie załatany, załamywał się, natomiast Firefox działał, pochłaniał jednak około 400 MB pamięci RAM.