Dropper at vente på Apple: Sikkerhedsfirma offentliggør exploit til iPhone

Illustration:
Sikkerhedsfirmaet Fireeye har valgt at offentliggøre et angrebspunkt til i iOS, selvom Apple endnu ikke har lukket for hullet. Sårbarheden gør det muligt for ondsindede apps at udgive sig for at være legitime programmer og stjæle data fra en iPhone.

En potentiel sårbarhed i Apples mobile styresystem iOS bevirker, at en bruger kan narres at overskrive en godkendt app, som eksempelvis Googles Gmail med ondsindet kode, der ligner den godartede app til forveksling. Sikkerhedsfirmaet Fireeye opdagede sårbarheden i juli 2014 og gjorde Apple opmærksom på den. Men ifølge Fireeye har Apple ikke reageret og sikkerhedsfirmaet offentliggør nu informationer om sårbarheden, da den bliver brugt i praksis. Eksempelvis som en del af Wirelurker-sårbarheden, som Version2 omtalte i sidste uge.

Læs også: Omfattende malware rammer iPhones, når de bliver forbundet med computeren

Sårbarheden har fået navnet 'Masque Attack' og skulle være blevet verificeret på iOS 7.1.1, 7.1.2, 8.0, 8.1 and 8.1.1 beta - både på jailbreakede og ikke-jailbreakede telefoner.

I et blogindlæg fortæller Fireeye, hvordan en bruger eksempelvis via en sms kan lokkes ind på en hjemmeside, der tilbyder at installere en app med et tilforladeligt navn som 'Flappy Bird' på en iPhone. Og selvom der ikke er tale om en jailbreaket iPhone, kan app'en alligevel installeres på telefonen uden om App Store.

App'en installerer ikke noget med 'Flappy Bird', men overskriver i stedet en eksisterende app på telefonen, eksempelvis Gmail fra Google. Pre-installerede apps fra Apple som Mobile Safari kan dog ikke overskrives på denne måde.

Nu giver den ondsindede app sig ud for at være Gmail og kan eksempelvis opsnappe brugernavn og adgangskode, som brugeren taster ind, ligesom den ondsindede app har adgang til de data, i dette tilfælde mail, som den nu tidligere Gmail-app har haft lagret.

Overskrivningen af en eksisterende app sker, hvis den ondsindede app anvender samme bundle-identifier, som en eksisterende app. I det eksempel, Fireeye har lavet, har de brugt en in-house app med titlen 'New Flappy Bird' og bundle-identifieren 'com.google.Gmail' til et eksempel, der overskriver Gmail-app'en. Det kan ses demonstreret i videoen herunder.

I blogindlægget hos Fireeye fremgår det, at angrebet kan lade sig gøre, fordi der ikke behøver være nogen sammenhæng mellem det certifikat, den ondsindede app anvender, og så det certifikat, som app’en, der bliver overskrevet, anvender.

Alvorlig sårbarhed

Solutions Architect og partner i app-udviklingsfirmaet iDeal-development Esben Bjerregaard har kigget lidt på sagen. Og han mener, at der er tale om en alvorlig sårbarhed, som Apple bør se at få lukket ned for hurtigst muligt.

Men Esben Bjerregaard bemærker også, at den ondsinde app i Fireyes exploit-eksempel må blive signeret af et certifikat fra Apple, for at den kan installeres på en ikke-jailbreaket telefon. Det kan eksempelvis være med et såkaldt enterprise-certifikat, som virksomheder kan bruge til at signere og installere apps med til internt brug i organisationen.

Apple kan tilbagekalde certifikater, der bliver misbrugt. Dermed kan den skadelige kode ikke køre mere, forklarer Esben Bjerregaard.

»Det er nemt at opdage for Apple og nemt at lukke ned, hvis der foregår misbrug med certifikater,« siger han.

Esben Bjerregaard peger desuden på, at en bruger ikke uden videre bliver inficeret med en ondsindet app via Masque Attack, da brugeren først skal lokkes ind på en ondsindet hjemmeside, godkende en app fra en ikke kendt udvikler og så skal angriberen kende til et bundle-id på telefonen, som skal overskrives.

Fireeye har en række råd til, hvad iPhone- og iPad-brugere bør være opmærksomme på, for ikke at blive ramt af 'Masque Attack'.

  • Lad være med at installere apps fra 3. parts-kilder. Det vil sige fra andre end Apples officielle App Store eller fra brugerens egen organisation, eksempelvis en virksomhed.

  • Lad være med at klikke på 'Install' i pop-up vinduer på tredjeparts-hjemmesider.

  • Lad være med at åbne en app, hvis iOS viser en alarm med 'Untrusted App Developer'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Deleted User

Lad være med at klikke på exe.txt filer i en mail, eller åbne word dokumenter/powerpoint præsentationer af "Men gone mad with ice cream (funny)" på din desktop. Jeg vil mene at når det kommer til iPhones, så passer brugeren mere på. Det er trods alt kun den mest udbredte telefon blandt "almindelige" mennesker. Når disse personer har en iPhone i hånden, så bliver de jo sikkerheden selv. Så ved at sige at de ikke må trykke på ting når de surfer rundt, eller blindt stole på "untrusted developer", så gør de jo selvfølgelig det.

</sarkasme>

  • 7
  • 5
Jakob Damkjær

Kort opsummeret "Jailbreaking is STUPID"

"Men Esben Bjerregaard bemærker også, at den ondsinde app i Fireyes exploit-eksempel må blive signeret af et certifikat fra Apple, for at den kan installeres på en ikke-jailbreaket telefon. Det kan eksempelvis være med et såkaldt enterprise-certifikat, som virksomheder kan bruge til at signere og installere apps med til internt brug i organisationen.

Apple kan tilbagekalde certifikater, der bliver misbrugt. Dermed kan den skadelige kode ikke køre mere, forklarer Esben Bjerregaard."

Så ingen real trussel mod de fleste brugere... og hvis der er nogen virksomhedder der vikeligt aldrig har lyst til at lave in-house apps til iOS igen (jup tror der er en rimelig stor ssh for at man kommer på shitlisten hos Apple hvis man lige kommer til at signere en kompromiteret app med sit enterprise certificat).

Så skal man ha jailbreaket sin telefon for at den realt set er sårbar... mystisk... det er lidt ligesom hvis man fylder voldgraven op på en borg... Så bliver den nemmere at invadere.

  • 0
  • 7
Log ind eller Opret konto for at kommentere