"Telecomprovider betrokken bij zeroday-aanval tegen iPhone-gebruikers"
IPhone-gebruikers zijn afgelopen december het doelwit van een zeroday-aanval geworden waarbij aanvallers samenwerkten met een telecomprovider en er gebruik werd gemaakt van een malafide Vodafone-app, zo laat Google weten. De telecomprovider van het doelwit werd door de aanvallers gevraagd om de mobiele dataverbinding uit te schakelen. Vervolgens stuurden de aanvallers een sms-bericht naar het doelwit waarin werd gesteld dat de gelinkte Vodafone-app geïnstalleerd moest worden om de dataverbinding te herstellen.
De malafide-app bevond zich niet in de Apple App Store, maar kon door middel van een enterprise-certificaat worden gesideload. Deze certificaten zijn voor driehonderd dollar bij Apple verkrijgbaar en zorgen ervoor dat iOS-apps buiten de controle van de App Store op iPhones zijn te installeren. "We begrijpen dat het Enterprise ontwikkelaarsprogramma is bedoeld voor bedrijven om "vertrouwde apps" onder de iOS-apparatuur van hun personeel uit te rollen, is het in dit geval gebruikt om deze malafide provider-app te sideloaden", zegt Ian Beer van Google Project Zero in een analyse.
De app bleek zes exploits te bevatten, waarvan vijf voor bekende kwetsbaarheden in oudere iOS-versies. Er was echter ook een exploit voor een onbekende kwetsbaarheid in IOMobileFrameBuffer toegevoegd waardoor het uitvoeren van code met kernelrechten mogelijk is. IOMobileFrameBuffer is een kernel-extensie waarmee ontwikkelaars kunnen bepalen hoe het systeemgeheugen wordt gebruikt voor de schermweergave. Via de app werden allerlei interesse bestanden van het besmette toestel gekopieerd, waaronder de WhatsApp-berichtendatabase. Apple verhielp het probleem (CVE-2021-30983) in iOS 15.2 en iPadOS 15.2 die op 13 december vorig jaar uitkwamen.
Android
Volgens Google waren de aanvallen gericht tegen gebruikers in Italië en Kazachstan. Daarbij waren ook Android-gebruikers het doelwit. Hiervoor maakten de aanvallers echter geen gebruik van kwetsbaarheden, maar vroegen slachtoffers de zogenaamde malafide applicatie zelf te installeren. Ook bij de aanvallen tegen Androidgebruikers werd er samengewerkt met de telecomprovider van het slachtoffer en een sms verstuurd nadat de dataverbinding was uitgeschakeld, aldus Google.
Het lijkt me niet vergezocht om aan te nemen dat de betreffende telecomprovider Vodafone was.
Wanneer je als doelwit klant bent van een andere telco is het raar om dan de Vodafone app te moeten gebruiken voor je data van <andere operator> .
De "social engineering" is wel erg overtuigend : Telco zet de dataverbinding uit, en gebruiker krijgt SMS "vanaf heden moet U onze app gebruiken voor data" .
Ik denk dat _heel_ weinig gebruikers dan paranoide genoeg zijn om geen data te gebruiken en het probleem verder te onderzoeken.
Met de telco in het complot moet gevreesd worden dat de helpdesk bellen 'klopt dit' bevestigd wordt.
OTOH - dit type targeted user door een telco zal door een heel klein aantal mensen behandeld worden (wsl vergelijkbaar met taplasten) , en de helpdesk zal niet in de 'need to know' pool zitten om een bullshit verhaal klaar te hebben voor als Abdul belt dat z'n data het niet doet - de helpdesk zal het dan oppakken als een "gewone" storing voor die gebruiker.
Of de aanvallers hebben hulp van een insider gehad.
als je contact opnemend met ziggo krijgt je zeer goedkope werknemers uit Suriname aan de lijn en niet uit Amsterdam bij de hand
Of de aanvallers hebben hulp van een insider gehad.
DIt heeft alle indicatie van een state actor . Gewoon met een gerechtelijk bevel lijkt me.
Maar budget en skills om een insider te corrumperen zijn bij aanvallers die met dit soort zero days werken zeker ook aanwezig .
Je "dus" klopt niet - de MMS melding was valide.
Je verhaal is trouwens stokout , denk ik.
MMS - 'multimedia SMS' . Die service is door sommige operators uitgefaseerd, en door andere niet of later.
Probleem ontstond als iemand bij een operator die nog wel MMS doet jou een MMS stuurt , en jij zit bij een operator die het (al) niet meer ondersteund.
Dat wordt pas ontdekt bij het verzenden . De MMS-bron-operator stuurde dan inderdaad een SMS dat je de MMS ergens op een portal kon zien.
Vodafone heeft ook (al lang) MMS uitgezet.
https://www.vodafone.nl/support/afscheid-van-mms
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
