US-CERT waarschuwt voor recent ontdekt iOS-lek
Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft Apple-gebruikers gewaarschuwd voor het recent onthulde lek in iOS waardoor malware in bepaalde gevallen op zowel gejailbreakte als niet gejailbreakte iPhones en iPads goedaardige apps door kwaadaardige versies kan vervangen, zonder dat gebruikers dit direct doorhebben.
De "Masque-aanval", zoals beveiligingsbedrijf FireEye het probleem noemt, is mogelijk doordat iOS niet controleert of apps met dezelfde "bundle identifier" wel over passende certificaten beschikken. Apple's eigen iOS-apps zouden echter niet kwetsbaar zijn. Via de aanval kan een app rootrechten krijgen, het toestel monitoren, gevoelige gegevens benaderen en inloggegeven stelen, zo waarschuwt het US-CERT.
Om zich tegen de aanval te beschermen krijgen gebruikers drie tips. Als eerste moeten er alleen apps van de Apple App Store of eigen organisatie worden gedownload, moeten er geen third party apps via websites worden geïnstalleerd en moet een app die de waarschuwing "Untrusted App Developer" geeft direct worden verwijderd. In een reactie tegenover iMore laat Apple weten dat het vooralsnog geen aanvallen op het lek heeft gezien.
Maar eigenlijk verschilt het niet of niet zoveel van mogelijke dreigingen op een desktop met malware applicaties.
Je moet immers zelf toestemming geven voor het installeren.
Met het bewust installeren van lelijke software krijg je wel van alles gedaan op elk apparaat.
Niets nieuws onder de zon.
Tenzij je de rechten niet hebt, maar op een iPad werken gebruikers niet met een standaard en een admin account.
(Als ze al een wachtwoord gebruiken of weten dat ze er een hebben, komen ze achter na een iOs update, geen backup en resetten maar :(
Kortom, dat ene veld om een app te installeren zou wellicht nog een vangnet toestemmings-klik kunnen gebruiken, bijvoorbeeld een kopie van de melding die je krijgt bij het voor de eerste keer openen van een app.
Dat zal helpen bij een install pop up als je net op een onbekende website bent beland (wakker worden helder nadenken).
Maar dan nog, als die gebruiker die app wil en op "Ja Ik Wil Deze Malware en Wel Nu Direct Meteen!" klikt ...
Je kan technisch van alles verzinnen aan oplossingen, probeer het als fabrikant desgewenst ook.
Het is uiteindelijk de gebruiker die dat vingertje moet leren beheersen bij het woord 'gratis'.
Geldt voor alles soorten platforms en apparaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
