Nieuw iOS-lek laat malware stiekem apps vervangen
Een nieuw onthuld lek in iOS maakt het mogelijk voor malware om op zowel gejailbreakte als niet gejailbreakte iPhones en iPads goedaardige apps door kwaadaardige versies te vervangen, zonder dat gebruikers dit direct doorhebben. Hierdoor zou een aanvaller bijvoorbeeld de Gmail app op de telefoon kunnen vervangen om vervolgens allerlei gevoelige informatie te stelen.
De malware kan zelfs toegang tot de lokale data van de originele, vervangen app krijgen. Deze data kan uit gecachte e-mails of zelfs inlogtokens bestaan die de malware kan gebruiken om direct op het gebruikersaccount in te loggen, zo waarschuwt beveiligingsbedrijf FireEye dat de kwetsbaarheid ontdekte. Via het lek zijn alle apps op het toestel te vervangen, behalve apps die standaard geïnstalleerd zijn, zoals Safari.
De kwetsbaarheid wordt veroorzaakt doordat iOS niet controleert of apps met dezelfde "bundle identifier" wel over passende certificaten beschikken. De kwetsbaarheid is aanwezig in iOS 7.1.1, 7.1.2, 8.0, 8.1 en de bètaversie van 8.1.1, voor zowel gejailbreakte als niet-gejailbreakte toestellen. Het lek kan daarnaast zowel via USB als wifi-netwerken worden gebruikt.
De aanval verloopt via de mogelijkheid die Apple aan bedrijven en ontwikkelaars biedt om via "enterprise/ad-hoc provisioning" apps te installeren. Hiervoor geeft Apple speciale certificaten uit waarmee applicaties kunnen worden gesigneerd. Als voorbeeld maakten de onderzoekers een app met de bundle identifier "com.google.Gmail" maar gaven het als naam "New Flappy Bird". Vervolgens werd de app van een enterprise certificaat voorzien. Zodra onderzoekers de app via een website installeerden werd de originele Gmail app op de telefoon vervangen.
Maatregelen
Volgens FireEye, dat Apple op 26 juli van dit jaar inlichtte, zijn er aanwijzingen dat het probleem actief wordt aangevallen. De recent onthulde WireLurker-malware zou de aanval tot op zekere hoogte gebruiken om iOS-toestellen via USB te infecteren. Om zich tegen dit soort malware te beschermen krijgen iOS-gebruikers het advies om alleen apps uit de officiële App Store te installeren of de store van de organisatie waar de gebruiker voor werkt. In het geval een app een waarschuwing met "Untrusted App Developer" laat zien moeten gebruikers de app niet vertrouwen en direct verwijderen.
En zo zien we - programmeurs zijn overal hetzelfde, ongeacht het OS dat ze in elkaar knutselen... Dit komt toch over als een ontzettend klungelige design-flaw?!? Dat je een update proces start en maar aanneemt dat de update hetzelfde is als wat er al geïnstalleerd stond?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
