image

Malware besmet ongepatchte iPhones en steelt Signal- en ProtonMail-data

woensdag 22 april 2020, 13:05 door Redactie, 4 reacties

Onderzoekers hebben in de eerste maanden van dit jaar malware ontdekt die ongepatchte iPhones en iPads infecteert en vervolgens data van onder andere chatapplicatie Signal en maildienst ProtonMail steelt. Het gaat om een zogeheten drive-by download, zo meldt securitybedrijf Volexity. Alleen het bezoeken van een gecompromitteerde website met een toestel dat op iOS 12.3, 12.3.1 en 12.3.2 draait is voldoende om met de malware besmet te raken. Er is geen verdere interactie van gebruikers vereist.

De kwetsbaarheid waar de aanvallers voor hun exploit gebruik van maken bevindt zich in WebKit en werd in juli 2019 door Apple met de release van iOS 12.4 gepatcht. De aanvallen die Volexity ontdekte vonden plaats van januari tot en met maart van dit jaar. Hoewel de iOS-update al een half jaar beschikbaar is, wil dat niet zeggen dat alle iOS-toestellen up-to-date zijn. Volgens Apple draait zeven procent van de iPhones op iOS 11 of ouder en 23 procent op iOS 12. Welke versie wordt niet vermeld. Bij iPads ligt dit percentage hoger. Zo draait 16 procent op iOS 11 of ouder en 27 procent op iOS 12.

Browsers op iOS moeten van de WebKit-engine gebruikmaken. Het maakte dan ook niet uit of gebruikers de gecompromitteerde websites met Apple Safari, Google Chrome of Microsoft Edge bezochten. De exploit werd op verschillende gecompromitteerde Oeigoerse websites aangetroffen, waaronder de Uighur Times en Uyghur Academy. Vorig jaar kwam Google met een uitgebreid rapport over drive by-aanvallen die misbruik van iOS-kwetsbaarheden maakten. Ook deze aanvallen vonden via gecompromitteerde websites plaats.

Om welke gecompromitteerde websites werd niet bekendgemaakt. Later bleek dat het ging om websites van Oeigoeren ging, een islamitische minderheid in China. Via de iOS-kwetsbaarheden waar Google over rapporteerde werd malware geïnstalleerd die zich voornamelijk richtte op het stelen van bestanden en uploaden van live locatiegegevens. Tevens had de malware toegang tot de databasebestanden waar populaire versleutelde chatapps van gebruikmaken, zoals WhatsApp, Telegram en iMessage. Deze databases, die onversleutelde verstuurde en ontvangen berichten bevatten, werden door de malware gestolen. Ook informatie die gebruikers via Gmail en Google Hangouts uitwisselden werd buitgemaakt, alsmede alle foto's op het apparaat.

Nadat de aanval vorig jaar augustus in het nieuws kwam trokken de aanvallers zich terug en verwijderden hun kwaadaardige code van de gecompromitteerde websites. Begin dit jaar waren ze terug met een aangepaste exploit en malware. De exploit werkt nu ook tegen nieuwere iOS-versies dan de aanvallen die door Google waren beschreven. Daarnaast was de malware nu ook in staat om data van de Signal- en ProtonMail-apps te stelen. Zo werden via Signal uitgewisselde bestanden gestolen, alsmede een kopie van de verstuurde berichten.

Signal-berichten zijn versleuteld op de telefoon opgeslagen. Om ze te ontsleutelen is een sleutel uit de keychain van de telefoon vereist. Onderzoekers hebben niet vastgesteld dat deze sleutel ook automatisch wordt gestolen. Volgens Volexity suggereert het toevoegen van de mogelijkheid om data van de Signal- en ProtonMail-apps te stelen dat de Oeigoerse gemeenschap zich bewust is van de monitoring die plaatsvindt en dit via beveiligde communicatie-apps probeert te voorkomen.

De onderzoekers merken verder op dat de malware een reboot van het toestel niet kan overleven. Dit houdt in dat de aanvallers snel alle data moeten stelen of dat ze een mogelijkheid hebben om de telefoon opnieuw te infecteren. Het wordt ook niet uitgesloten dat de aanvallers over een methode beschikken om in eerste instantie besmette iPhones wel permanent te infecteren, maar dat dit alleen handmatig gebeurt nadat het doelwit is geverifieerd.

Eerder bleek dat ook Oeigoerse Android- en Windowsgebruikers het doelwit van aanvallen waren. "Het is nu bevestigd dat in de afgelopen maanden Oeigoerse websites voor alle grote platformen malware hebben verspreid, wat een aanzienlijke ontwikkeling en investering aan de kant van de aanvallers toont om de Oeigoerse populatie te bespioneren", zo concludeert het securitybedrijf.

Image

Reacties (4)
22-04-2020, 13:33 door Anoniem
Signal- en ProtonMail-apps
................
...............
...............
iMessage
...............
...............
...............
Google hangouts
...............
...............
Webbrowsers op basis van Apple software
...............
...............

Tot zover de wondere oplossing van beter beveiligde informatie opslag.
Deel dus geen minder tot zeer belangrijke gegevens met derden als je zelf geen software expert bent die de software uitgebreid kent.
Apps bieden door hun decentrale software structuur een schijn eenvoud.
Een App ziet er zogenaamd zo eenvoudig uit, dus wat kan er nou fout gaan???
Think again!
23-04-2020, 08:39 door Anoniem
Door Anoniem: Deel dus geen minder tot zeer belangrijke gegevens met derden als je zelf geen software expert bent die de software uitgebreid kent. Think again!

Daar gaat 't mis met "security experts"...

Het aantal mensen dat belangrijke gegevens heeft is zoveel groter dan het aantal mensen dat zichzelf software expert mag noemen dat met jouw advies in het achterhoofd ongeveer 5 mensen op deze planeet een messaging app zouden mogen gebruiken.

Het probleem ligt bij de makers van de apps en de platforms - niet bij de gebruikers. Je kan een mensenrechtenactivist niet de schuld geven dat z'n gegevens op straat liggen omdat hij bezig was mensen te redden in plaats van de broncode van signal door te ploegen om te zien hoe een kwetsbaarheid in Webkit 6 eventueel zijn Signal berichten zou kunnen exposen.

Adviezen van security medewerkers (ik laat 'experts' bewust even achterwege hier) dat je dan "maar even simpel je PCAP van je SSL (je snift toch wel al je verkeer? Niet? Jongen!) door de TCPDUMP moet halen om de XSS flag te zetten en anders die DLL even in de kernnel moet hooken" - mensen kunnen er niks mee. Die hebben belangrijker dingen te doen dan wat wij leuk vinden.
23-04-2020, 11:18 door Anoniem
Ik denk dat je ALTIJD moet nadenken welke data/documenten/foto's je deelt, ongeacht welk platform het ook is.
Of het nou een "veilig" platform is of niet, maakt nog geen eens uit.
Bedenk altijd wat je deelt dat er uiteindelijk aan de andere kant los van de techniek ook "mensen" achter de knoppen zitten.
"Mensen" maken fouten, onbewust of bewust...

Data/Foto/Document delen denk altijd na, eenmaal gedeeld is het niet meer van jou. Platform maakt niet uit.
23-04-2020, 17:32 door Anoniem
Door Anoniem:Je kan een mensenrechtenactivist niet de schuld geven dat z'n gegevens op straat liggen omdat hij bezig was mensen te redden in plaats van de broncode van signal door te ploegen om te zien hoe een kwetsbaarheid in Webkit 6 eventueel zijn Signal berichten zou kunnen exposen.
Niet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.