Domanda:
Dovrei essere preoccupato per strane nuove app per iPhone che appaiono dopo la riparazione?
Rafi Rosa
2018-03-27 21:34:48 UTC
view on stackexchange narkive permalink

Ho fatto sostituire la batteria del mio iPhone in un'officina di riparazione di telefoni. Dopo averlo raccolto, ho notato che è installata una strana nuova app, un browser web "cinese". Non ha un nome alfanumerico e nulla nell'interfaccia era in inglese, ho parlato con il tecnico che ha sostituito la batteria e mi ha detto che non hanno fatto nulla con il telefono, non lo hanno nemmeno collegato a un PC.

Dovrei essere preoccupato? Ci sono molti dati sensibili su di esso, non è mai stato sottoposto a jailbreak, non ho mai visitato siti sospetti e non l'ho collegato a nessun PC diverso dal mio fidato laptop.

Sei già preoccupato, ecco perché lo chiedi.Ed è giusto così.Una domanda migliore sarebbe: * Cosa devo fare dopo? *
Hai fatto un backup completo * prima * di andare al negozio, giusto?Lo cancellerei, ripristinerei il backup e non mi fiderei mai più di tale archivio se il ripristino non ripristina l'app sospetta.
@JanDoggen Per essere onesti, non sta chiedendo se è preoccupato, ma se ha ragione a essere preoccupato.
Per i curiosi tra di noi, potresti fare uno screenshot dell'icona e dell'interfaccia dell'app?Potremmo essere in grado di identificare almeno l'app in questione.
Dove è successo?Le app cinesi sono normali lì?
È possibile utilizzare una batteria per eseguire il backdoor di un telefono?In teoria potrei immaginarlo (chi la sicurezza rafforza il protocollo della batteria del sistema operativo?), Ma se fosse comune mi aspetterei che fosse trovato su google.
@Mawg Vivo in Irlanda, le app cinesi sono molto insolite qui.Come ho detto nei commenti, non è nemmeno nell'elenco delle app acquistate quando accedo al mio profilo nell'App Store.
Hai controllato che si tratti di un'app e non di una "web app", anche nota come collegamento della schermata principale?
@twisteroidambassador Mi dispiace, sono andato un po 'nel panico e quando il ragazzo in negozio mi ha suggerito di cancellarlo, l'ho fatto senza pensarci.Ecco il collegamento all'icona che ho trovato che sembra lo stesso, [link] (https://images-na.ssl-images-amazon.com/images/I/718-HpvIPaL.png) Suppongo sia UC Browser.Come ho già detto, tutto era in cinese, incluso il nome dell'app.
@Qsigma Non l'ho fatto, e dato che ora è sparito, c'è un modo per scoprire cosa fosse?
Versione del telefono?Versione iOS?[Jailbreak, dal 2007 a oggi] (https://en.wikipedia.org/wiki/IOS_jailbreaking#By_device_and_iOS_version,_2007-present)
AilidndgcsCMT IPhone 5s, IOS 11.2.6
Saresti in grado di aggiungere uno screenshot?Preferibilmente accendendo il dispositivo * senza una scheda SIM * e lontano da reti Wi-Fi conosciute (o cambiando la password Wi-Fi in modo che il dispositivo compromesso non possa più connettersi ad esso).
Hai sbloccato / dato loro la tua password?(Non dovresti fare nessuno dei due)
@Antzi Non è necessario fornire loro la tua password, ma solo il tuo PIN.Possono accedere con un altro utente e installare un'app come ho detto nella mia risposta.
Dieci risposte:
#1
+103
Anders
2018-03-27 22:13:17 UTC
view on stackexchange narkive permalink

A meno che tu non riesca a trovare qualche altra spiegazione di come è successo, sembra che il tuo telefono sia stato infettato da qualche malware. È impossibile per noi dire se l'infezione sia stata il risultato di qualcosa che ha fatto la fabbrica o qualcosa che hai fatto tu. Ad ogni modo, dovresti essere molto preoccupato. Ti consiglio la seguente linea di azione:

  • Fai un backup di tutti i dati che hai sul telefono. (Il backup potrebbe essere infetto, vedi questa domanda, ma se non hai un backup precedente devi correre il rischio o perdere i tuoi dati.)
  • Esegui un ripristino completo dei dati di fabbrica , ripulendo il telefono.
  • Cambia le password che sono state memorizzate o inserite nel dispositivo.

Anche se vedi solo un'app, potrebbe essere un sintomo di un'infezione più profonda. La semplice rimozione della strana app cinese potrebbe non essere sufficiente.

Non riesco davvero a pensare a come questa app sia stata installata sul mio iPhone, non appare nell'elenco degli acquisti nel mio account Apple e non ho installato alcuna app da almeno un mese.Quali sono i possibili modi in cui potrebbe essere stato infettato?
@RafiRosa Ad essere onesti, non credo che sarai mai in grado di dire con certezza da dove proviene.Ma alla fine, quello che devi fare è lo stesso: un ripristino delle impostazioni di fabbrica.
@RafiRosa È possibile eseguire il sideload di app con certificati validi firmati da Apple.Altrimenti ti fanno il jailbreak del telefono.
@Rafi Rosa È possibile che l'app sia stata compilata direttamente da XCode sul tuo telefono o utilizzando TestFlight.Oltre al jailbreak, questo è l'unico modo in cui le app non approvate possono accedere al tuo telefono.Ciò significa praticamente che dovresti smettere di usare il tuo telefono e cancellarlo il prima possibile.
@Anders Ho eseguito un ripristino completo delle impostazioni di fabbrica del mio telefono e ho cambiato tutte le password che ho usato durante l'utilizzo.Dopo di che tutte le app che ho installato in precedenza sono state ripristinate da iPhone e tutti i miei file sono stati archiviati su iCloud, è tutto quello che posso fare?
@RafiRosa Sembra una buona strategia.
@Caimen che passa direttamente da XCode al telefono richiede l'installazione di certificati specifici del dispositivo sotto l'ID Apple connesso: potrebbe esserci un modo per controllare il dispositivo in iTunesConnect (?).
Dato che gli operatori telefonici spesso spingono le app nel telefono senza il consenso del proprietario effettivo (è così che T-Mobile ha colto in flagrante l'installazione delle proprie app nel mio telefono), suggerirei che un'altra possibilità sia che un cliente paghi l'operatore per spingereapp nel telefono delle persone.(O forse dobbiamo solo aspettare e vedere se un operatore appare nelle notizie come violato e la sua funzionalità utilizzata per compromettere gli utenti finali.)
@ray Non è una cosa su iOS.I gestori non hanno il controllo sugli aggiornamenti del firmware e non possono forzare l'installazione delle app.
#2
+31
The-Baddy
2018-03-27 23:32:03 UTC
view on stackexchange narkive permalink

Sarei molto preoccupato. Una cosa che ho imparato sulla sicurezza, in tutti gli anni che ho cercato di capirla, è che se non hai messo qualcosa lì, qualcun altro l'ha fatto, e se non sai cosa sta facendo, l'unica cosa da fare è reimpostare, reinstallare ed essere soddisfatto di tutto. Se non sai perché quel software è lì, stai tranquillo, qualcuno lo ha messo lì per un motivo e potrebbe essere un buon motivo ma non è il tuo buon motivo quindi se quel telefono fosse il mio Salverei tutti i miei dati, e solo i miei dati, e li ripristinerei completamente ai dati di fabbrica.

#3
+22
Nath
2018-03-28 07:29:18 UTC
view on stackexchange narkive permalink

Sì, e preoccupati per qualcosa di più del tuo telefono.

Non riesco a immaginare una situazione in cui un'app è stata installata senza il tuo pin / password. senza che prima vengano jailbreak o altrimenti compromettano in modo significativo il sistema operativo del telefono. Penso che l'unica ipotesi sicura sia che tutto ciò a cui il tuo telefono aveva accesso, anche loro avevano accesso.

Quindi qualsiasi account a cui il tuo telefono ha accesso è sospetto. In particolare qualsiasi account di posta elettronica che hai configurato. Cerca le email di reimpostazione della password, controlla i tuoi articoli inviati, ecc. altri in termini di ripristino del telefono, ma vanno anche oltre il telefono e ripristinano tutte le password importanti, ecc.

Sfortunatamente, è abbastanza comune per le officine di riparazione chiedere il PIN per accedere e verificare tutte le funzionalità dell'hardware dopo aver aperto la custodia, nel caso in cui si staccassero qualcosa (fotocamera, GPS, bluetooth, ecc.) Non rilevabile su un lucchettoschermo.Vado in un negozio nelle vicinanze che farà le riparazioni mentre aspetti così posso accedere per farli controllare mentre guardo, ma ho visto molti clienti rinunciare al PIN senza un momento di pausa.
#4
+11
allo
2018-03-28 13:50:24 UTC
view on stackexchange narkive permalink

Il punto più preoccupante è che il dipendente dell'officina afferma di non sapere nulla al riguardo.

L'app può o non può essere a posto. Se qualcuno nell'officina installa una nuova app, ad esempio per verificare se l'installazione funziona di nuovo, questo può essere un problema, ma non deve esserlo.

Ma se ti dicono che non lo sanno o è stato installato da un malware, oppure ti stanno mentendo. In entrambi i casi non puoi più fidarti del telefono per non essere infettato da qualcosa che dovrebbe preoccuparti.

A meno che il dipendente che non lo sapeva stesse semplicemente lavorando al registratore di cassa e non sapesse che gli addetti alle riparazioni sul retro installano regolarmente app di supporto e le rimuovono dopo che la riparazione è stata completata (e questa volta si è dimenticato).In ogni caso, ripristina da backup
Potrebbe valere la pena segnalarlo alla polizia anche in modo che possano inviare qualcuno sotto copertura per fare un'indagine se hanno la volontà e le risorse (anche se non lo faranno)
Questo è stato il mio primo pensiero, che è un software avanzato per testare la batteria, ma il ragazzo che l'ha riparata ha detto che era già lì e non aveva nulla a che fare con esso.
È un problema se hanno sbloccato il telefono, anche per i test.
È un problema per noi persone attente alla sicurezza, ma la maggior parte delle persone e la maggior parte delle persone che riparano non vedono un problema lì.E spesso hanno ragione e non tutte le persone con diritti di accesso fanno cose cattive.Ma quando poi non dicono la verità, la fiducia è svanita.
#5
+10
CPHPython
2018-03-29 14:23:22 UTC
view on stackexchange narkive permalink

quando il ragazzo in negozio mi ha suggerito di cancellarlo, l'ho fatto senza pensarci. Ecco il collegamento all'icona che ho scoperto che ha lo stesso aspetto, suppongo sia UC Browser. Come ho già detto, tutto era in cinese, incluso il nome dell'app. - Rafi Rosa

Sì, era UCBrowser. Questo è un browser popolare in Cina (dal momento che Google Play / Servizi non sono disponibili lì) la maggior parte dei telefoni cinesi in realtà viene fornita con questo browser preinstallato.

Credo che forse fosse un modo per testare il tecnico delle riparazioni il telefono in un'app familiare ... UCBrowser ha riscontrato diversi difetti che consentirebbero ad altri di sfruttare, ma principalmente si verificherebbero solo se si usasse effettivamente il browser.

Ho eseguito un ripristino completo dei dati di fabbrica del mio telefono e ho cambiato tutte le password che ho utilizzato durante l'utilizzo. Dopo di che tutte le app che ho installato in precedenza sono state ripristinate da iPhone e tutti i miei file sono stati archiviati su iCloud, è tutto quello che posso fare? - Rafi Rosa

Credo che tu abbia fatto bene. Anche se fosse solo un'app che il tecnico delle riparazioni ha deciso di utilizzare per i test, potrebbe aver fatto molto di più che installare e utilizzare il browser. Non essere onesto / in anticipo su ciò che hanno fatto veramente quando avevano solo bisogno di riparare una batteria non è certamente professionale.

Un ripristino delle impostazioni di fabbrica e la modifica delle password dovrebbero essere abbastanza sicuri per quanto riguarda i tuoi dati. Se il negozio non ha modo di trarre profitto dalla sostituzione di altro hardware nel telefono, non noterai alcuna differenza. Tuttavia, se hai bisogno di essere completamente sicuro della sua integrità, forse un negozio Apple certificato potrebbe eseguire un controllo e dirti cosa è stato veramente cambiato (non sono sicuro se lo fanno).

#6
+6
DoubleD
2018-03-29 23:37:50 UTC
view on stackexchange narkive permalink

Non ho visto questo problema nelle risposte precedenti, quindi ho pensato di aggiungere:

Se hai intenzione di cedere il controllo del tuo dispositivo, dovresti eseguire un backup e un ripristino dei dati di fabbrica in anticipo. Dovresti ripristinarlo di nuovo e quindi ripristinare il backup quando restituito. Ci vogliono solo pochi secondi per copiare i file o installare malware.

È troppo tardi in questo caso, ma il mistero su "cosa è successo" si applica ogni volta che lascia il tuo controllo, non solo questo tempo perché hai notato qualcosa di sbagliato. Gli intrusi di solito cercano di evitare il rilevamento, quindi una buona intrusione sarebbe impercettibile.

#7
+4
brichins
2018-03-29 01:47:57 UTC
view on stackexchange narkive permalink

Come già affermato, qualsiasi cosa fatta al tuo telefono mentre sei fuori dalla tua vista è sicuramente motivo di preoccupazione e probabilmente vale la pena ripristinarla dal backup, così come reimpostare le password / 2FA per qualsiasi cosa legata a quel telefono.

Tuttavia, il modo esatto in cui questa icona è apparsa sulla schermata iniziale direbbe molto su quanto possa essere coinvolta una violazione e quanto preoccuparsi. Mi vengono in mente 2 opzioni non già discusse:

  1. Un dipendente ha installato l'app, ma l'ha rimossa dal tuo elenco di app acquistate. Potresti controllare la cronologia degli acquisti in iTunes per gli acquisti nascosti per verificare se è successo, anche per un'app gratuita.

  2. L'icona non era effettivamente un'app iOS installata, ma un sito Web / Progressive Web App con segnalibro che è stato bloccato nella schermata principale per qualche motivo per aiutare con la diagnostica. Potresti potenzialmente verificarlo controllando la tua cronologia di Safari per qualsiasi attività durante il periodo in cui il tuo telefono era al negozio. Cancellare la cronologia / i cookie cancellerebbe le tracce per questo, ma se è quello che è successo, la "app" stessa non è davvero motivo di allarme.

#8
+2
Michael Elliott
2018-03-28 06:50:06 UTC
view on stackexchange narkive permalink

Sì, dovresti essere preoccupato.

Ripristina le impostazioni di fabbrica.

Se hai eseguito il backup del tuo iPhone da prima dell'applicazione, sei fortunato. Se non l'hai fatto, meno grande ma comunque preferibile pulirlo e ricominciare da capo.

#9
+1
Rui F Ribeiro
2018-03-30 07:04:05 UTC
view on stackexchange narkive permalink

se hai dato accesso al telefono allo store, la nuova app potrebbe non essere nell'elenco delle app acquistate, semplicemente perché un dipendente del negozio si è disconnesso e l'ha installata con il proprio utente.

Tuttavia, manterrei comunque il telefono e le password utilizzate / memorizzate nella cache come potenzialmente compromesse.

Tuttavia, come menzionato nel mio primo paragrafo, l'installazione dell'app potrebbe essere solo di routine e qualcuno si è dimenticato di eliminarla .

#10
  0
Egor
2018-03-31 21:12:23 UTC
view on stackexchange narkive permalink

Ti consiglio di sostituire il telefono invece di ripristinarlo. Il negozio ha avuto accesso all'hardware e al firmware del telefono e avrebbe potuto sostituirli con controparti dannose oltre a installare questa app.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...