image

Onderzoekers krijgen malware in Apple App Stores

woensdag 17 juni 2015, 16:47 door Redactie, 2 reacties

Onderzoekers van de Indiana University zijn erin geslaagd om malware voor Mac OS X en iOS in de App Stores van Apple te krijgen waarmee toegang tot gevoelige gegevens van andere apps kan worden verkregen. Het gaat bijvoorbeeld om wachtwoorden voor iCloud, het standaard e-mailprogramma en internetbankieren en het geheime token voor het notitieprogramma Evernote.

Verder bleek dat het ontwerp van de app-sandbox op Mac OS X kwetsbaar was, waardoor de malware de privédirectory van apps kon benaderen. De malware kon zo ook toegang krijgen tot notities en contacten die in Evernote waren opgeslagen, alsmede foto's van WeChat. De onderzoekers publiceerden hun werk eind mei in een rapport (pdf) genaamd "Unauthorized Cross-App Resource Access on MAC OS X and iOS". Om te voorkomen dat apps toegang tot elkaars informatie krijgen passen besturingssystemen "app isolatie" toe, waarbij elke app in zijn eigen sandbox zit.

Het blijkt in sommige gevallen voor apps toch mogelijk te zijn om toegang tot de "resources" van andere apps te krijgen, wat de onderzoekers "unauthorized cross-app resource access" (XARA) noemen. Het was bekend dat dit probleem bij Android speelde, maar de onderzoekers wilden weten of ook Mac OS X en iOS kwetsbaar zijn. Twee platformen waarvan wordt aangenomen dat ze veiliger zijn dan Android, zo laten de onderzoekers in het rapport weten. Ze ontdekten dat het probleem ook bij de besturingssystemen van Apple speelt. Zodoende kan het mechanisme worden gekaapt dat de toegang tot de Keychain regelt, waardoor het vervolgens mogelijk is om toegang tot wachtwoorden en andere inloggegevens te krijgen van apps en websites die hierin zijn opgeslagen.

Impact

"De gevolgen van deze aanvallen zijn ernstig, waaronder het lekken van wachtwoorden, geheime tokens en allerlei soorten gevoelige documenten. Ons onderzoek laat zien dat het probleem wordt veroorzaakt door een gebrek aan authenticatie tijdens app-to-app en app-to-systeem interacties", aldus de onderzoekers in hun conclusie. Ze ontwikkelden een scanner om binaire bestanden voor OS X- en iOS-apps te analyseren om te bepalen of de juiste beschermingsmaatregel in hun code aanwezig is of niet.

Meer dan 88,6% van de 1612 populairste Mac-apps en 200 iOS-apps waren volledig kwetsbaar voor een XARA-aanval, waardoor een kwaadaardige app beveiligde informatie kon stelen. Apple zou in oktober 2014 door de onderzoekers zijn ingelicht en vervolgens hebben gevraagd om met de publicatie van het rapport te wachten, maar de onderzoekers zouden sindsdien niets meer hebben gehoord, zo meldt The Register. Het probleem is in Mac OS X 10.10.3 en 10.10.4 nog steeds aanwezig.

Reacties (2)
17-06-2015, 23:03 door Anoniem
ok,dan zou dat in El Capitan verholpen moeten zijn maar dan kan je nog 4 maanden wachten.
18-06-2015, 13:03 door Anoniem
Geen idee waarom een inhoudelijke reactie van gisteren niet geplaatst werd, mooie gelegenheid voor een betere herkansing (weer het voordeel bij moderatie blokkade).

Inzichtelijke aanvullende info over hoe het werkt hier te lezen
http://arstechnica.com/security/2015/06/serious-os-x-and-ios-flaws-let-hackers-steal-keychain-1password-contents/

Er staat ook een andere werkende link naar het rapport in mocht bovenstaande niet werken (Access Denied).
Vergeet vooral de comments bij het artikel niet te lezen, inhoudelijk de moeite waard omdat het meer inzicht geeft in de strategie van de hack.

Namelijk (als ik het goed begrijp) dat een andere malicious app met gebruik van bepaalde Keychain Services (aanwezig sinds OS X 10.2) het wachtwoord van een andere app kunt verwijderen, gevolg is dat de gebruiker gevraagd wordt om opnieuw het benodigde wachtwoord in te vullen wat dan daarmee gekaapt wordt door de malicious app en waardoor het de rechten van die andere app kan verkrijgen om toegang te verkrijgen tot het specifieke keychain deel.

Apple is het met de controle in de app store kennelijk niet opgevallen dat de eigen test app van een dergelijke bestaande functie misbruik maakte.
Als iemand opmerkt onder de Arstechnica reacties. Hoewel een serieuze ontwerpfout kan Apple ervoor kiezen om in ieder geval in de beoordeling van app's specifiek te scannen op dit soort actieve misbruik functionaliteit in app's.
Mocht dat een hit geven kan het het id van de developer intrekken en de app direct in de XProtect list zetten.

Maar ja, wat doe je dan met app's die je verkrijgt van buiten de app store?
Dat is dan extra goed oppassen, bovendien als de verkeerde app van allerlei programma's op foute wijze het password reset en opnieuw opvraagt moeten er wel bellen gaan rinkelen (Alweer? Wat is hier aan de hand?). Maar goed, op zich ben je dan ergens al wel te laat.
Tenzij het een app betrof die je niet op je outbound firewall whitelist had staan, dan heeft het de passwords wel maar krijgt ze nog niet direct naar buiten gesmokkeld.

Met whitelisting werken onder OS X is (was al) dus helemaal geen slecht idee.

In ieder geval een vondst waar je u tegen zegt waarbij het opmerkelijk is dat die sinds 2002 aanwezige functionaliteit niet eerder als misbruik mogelijkheid is opgemerkt, danwel echt onderzocht, iets wat de onderzoekers zelf ergens geloof ik ook stellen.

Benieuwd wat Apple gaat doen, voor welke OS X versies het een patch gaat uitbrengen en of er anderen met goede tips aangaande workarounds komen.

Tot die tijd, extra voorzichtigheid geboden bij het installeren van App's, wees er niet te snel bij en lees erover wat anderen ervan vinden in diverse verschillende bronnen.


P.s. kijk ook naar de Arstechnica reacties over het gebruik van de iCloud keychain en waarom voor het onderzoek vermoedelijk wel voor 3rd party browser Chrome was gekozen en niet voor Safari. Ik ben er nog niet helemaal uit, nog een keer doorlezen en het topic blijven volgen. Verder veel discussie over gebruik van andere password managers als Lastpass. Toch ook maar niet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.