Een nieuw onthuld lek in iOS maakt het mogelijk voor malware om op zowel gejailbreakte als niet gejailbreakte iPhones en iPads goedaardige apps door kwaadaardige versies te vervangen, zonder dat gebruikers dit direct doorhebben. Hierdoor zou een aanvaller bijvoorbeeld de Gmail app op de telefoon kunnen vervangen om vervolgens allerlei gevoelige informatie te stelen.

De malware kan zelfs toegang tot de lokale data van de originele, vervangen app krijgen. Deze data kan uit gecachte e-mails of zelfs inlogtokens bestaan die de malware kan gebruiken om direct op het gebruikersaccount in te loggen, zo waarschuwt beveiligingsbedrijf FireEye dat de kwetsbaarheid ontdekte. Via het lek zijn alle apps op het toestel te vervangen, behalve apps die standaard geïnstalleerd zijn, zoals Safari.

De kwetsbaarheid wordt veroorzaakt doordat iOS niet controleert of apps met dezelfde "bundle identifier" wel over passende certificaten beschikken. De kwetsbaarheid is aanwezig in iOS 7.1.1, 7.1.2, 8.0, 8.1 en de bètaversie van 8.1.1, voor zowel gejailbreakte als niet-gejailbreakte toestellen. Het lek kan daarnaast zowel via USB als wifi-netwerken worden gebruikt.

De aanval verloopt via de mogelijkheid die Apple aan bedrijven en ontwikkelaars biedt om via "enterprise/ad-hoc provisioning" apps te installeren. Hiervoor geeft Apple speciale certificaten uit waarmee applicaties kunnen worden gesigneerd. Als voorbeeld maakten de onderzoekers een app met de bundle identifier "com.google.Gmail" maar gaven het als naam "New Flappy Bird". Vervolgens werd de app van een enterprise certificaat voorzien. Zodra onderzoekers de app via een website installeerden werd de originele Gmail app op de telefoon vervangen.

Maatregelen

Volgens FireEye, dat Apple op 26 juli van dit jaar inlichtte, zijn er aanwijzingen dat het probleem actief wordt aangevallen. De recent onthulde WireLurker-malware zou de aanval tot op zekere hoogte gebruiken om iOS-toestellen via USB te infecteren. Om zich tegen dit soort malware te beschermen krijgen iOS-gebruikers het advies om alleen apps uit de officiële App Store te installeren of de store van de organisatie waar de gebruiker voor werkt. In het geval een app een waarschuwing met "Untrusted App Developer" laat zien moeten gebruikers de app niet vertrouwen en direct verwijderen.