Onderzoekers bouwen botnet van 8.000 iPhones
Onderzoekers van TippingPoint hebben tijdens de RSA conferentie gedemonstreerd hoe eenvoudig het is om mensen met een smartphone zichzelf te laten besmetten. Derek Brown en Daniel Tijerina maakten een weerapplicatie voor de iPhone en Google Android, genaamd WeatherFist. In werkelijkheid ging het om een programma dat informatie over gebruikers verzamelde. De applicatie werd op verschillende marktplaatsen voor Androids en gejailbreakte iPhones aangeboden. Apple's AppStore was volgens de onderzoekers geen optie, aangezien de applicaties redelijk goed gecontroleerd worden.
Marktplaats
Apple voorziet de applicaties van een digitale handtekening en verbiedt dat de software naar huis belt of over zelf gemaakte API's beschikt. Goedgekeurde iPhone apps draaien in een sandbox, die voorkomt dat ze toegang tot gegevens krijgen waar ze eigenlijk geen toestemming voor hebben. Ook de officiële Android marktplaats was voor de onderzoekers te streng.
Er zijn echter voldoende andere websites om applicaties aan te bieden, zoals de SlideME en ModMyI sites. Na een dag hadden al bijna 1.700 mensen de software gedownload. De laatste keer dat de onderzoekers naar het aantal downloads keken stond de teller op bijna 8.000. "Dit was echt een verrassing, omdat het kwaadaardige code is, dat zijn veel bots die we kunnen besturen", zegt Tijerina.
Misbruik
De onderzoekers willen met hun experiment het gevaar van een mobiel botnet aantonen. Daarvoor ontwikkelden ze ook een applicatie genaamd WeatherFistBadMonkey, die contactgegevens, cookies en fysieke adressen verzamelde, maar ook spam kan versturen. Dit programma werd door Brown en Tijerina alleen op hun eigen smartphone uitgeprobeerd. Vanwege de kans op misbruik zijn de onderzoekers dan ook niet van plan om het programma te verspreiden.
Alles en iedereen word ondermijnd door de hackers die al hun pijlen richten op de meeste gebruikte besturingssystemen.
Dit verhaal laat alleen maar duidelijk zien, dat indien je een API of programma download bij een 3de partij i.p.v. de leverancier/fabrikant van je apparatuur, je nooit 100% zekerheid zult hebben dat het juist zal werken en voor JOU zal werken i.p.v. voor de makers van de API of het programma.
Wil je echt van alles op de hoogte blijven? Zorg dat je notificaties en reminders ontvangt via je e-mail, voordat je je zuurverdiende geld en spullen in 1 duim-druk weggeeft aan onbekenden.
@Anoniem:
Ben ik niet geheel met je eens. Meerdere programma's in Apple store, zijn ook onbetrouwbaar. Zo verteld Apple wat jij wel en niet mag doen op JOU iPhone, etc.
iPhone is een mooi apparaat, maar ik wil toch echt zelf kunnen beslissen wat ik wel of niet gebruik op MIJN telefoon.
Zolang Apple niet kan voorkomen dat producten van hen gejailbreaked worden, is het wellicht te vroeg om de controle van Apple überhaupt van een duim omhoog te voorzien.
Ik geniet overigens van de vrijheid die Apple mij wil ontnemen.
Waarschijnlijk ben ik ook goedgelovig...
Arno
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
