Spyware brugte Apple-enterprise-certifikat for at komme på iPhones

Mens det lykkedes aktøren bag Exodus at putte spywaren direkte i Google Play, blev et certifikat brugt til at få den skadelige software på iOS.

Exodus-spywaren er blevet distribueret ud til Android-enheder via Google Play, mens aktøren bag tilsyneladnede har udnyttet Apple’s Developer Enterprise Program til at forsøge at liste den ondsindede software på iOS-enheder.

Det skriver Wired med henvisning til et indlæg fra sikkerhedsvirksomheden Lookout, der har kigget nærmere på distributionen af Exodus.

Ifølge indlægget hos Lookout er Exodus overvågningssoftware, der kan hive blandt andet kontakter, lokation og billeder ud af en inficeret enhed.

Lookout oplyser, det tidligere været fremme, at malwaren har ligget på Google Play, og nu kan virksomheden fortælle, at softwaren også eksisterer i en iOS-version.

Wired oplyser, det er uklart, hvorvidt Exodus har været målrettet en bredere gruppe eller enkelte individer.

Certifikater

I udgangspunktet kan der kun installeres software på en ikke-jailbreak’ed iPhone via Apples App Store eller via det såkaldte Apple Developer Enterprise-program.

Sidstnævnte kan bruges af virksomheder, som via et Apple-udstedt certifikat, kan putte egen software på eksempelvis medarbejderes telefoner.

Aktøren bag Exodus har ifølge Lookout enten ikke forsøgt eller har ikke formået at få softwaren i Apples App Store. I stedet er potentielle ofre via phishing-sider blevet gelejdet til en udgave af app’en, der har været signeret via et Apple-udvikler-certifikat.

Og på den måde har Exodus kunnet installeres på iOS uden om App Store.

Ifølge indlægget hos Lookout har iOS-udgaven af Exodus ikke været lige så sofistikeret som Android-versionen. Exodus på iOS skulle dog have været i stand til at tilgå blandt andet kontaktoplysninger, lydoptagelser og GPS-placering.

Private API'er

Solutions architect og partner i app-virksomheden iDeal Development Esben Bjerregaard arbejder med blandt andet udvikling til iOS. iDeal Development har også et enterprise-certifikat til iOS.

Esben Bjerregaard bemærker, at sådan et certifikat udover at gøre det muligt at installere apps udenom App Store også giver udvidede rettigheder på telefonen.

»Kan private API’er kaldes, kan man alt muligt skummelt, som en app, der hentes fra App Store, aldrig ville kunne. Tanken med enterprise-certifikater er, at det er virksomhedens it-afdeling, der garanterer, at appen opfører sig pænt,« skriver han i en mail.

Ifølge Esben Bjerregaard giver private API'er blandt andet adgang til CoreTelephony på iOS, hvilket gør det muligt at læse SMS'er og se, hvem der ringer.

Det fremgår ikke direkte af artiklen hos Wired eller indlægget hos Lookout, hvorvidt Exodus har gjort brug af private API'er.

Hvad API-adgang angår, citerer Wired Adam Bauer fra Lookout for at sige:

»In terms of capabilities on the iOS side, they’re doing pretty much everything I’m aware of that you can do through documented Apple APIs, but they’re abusing them to do surveillance-type activities.«

Adam Bauer fremhæver desuden overfor Wired, at aktøren bag Exodus har et højt niveau af professionalisme.

Esben Bjerregaard bemærker, at Apple til hver en tid kan tilbagekalde et certifikat. Og så virker appen ikke længere.

»Brugeren skal i øvrigt godkende certifikatet, når der installeres. Det er ikke helt let at komme til ved et uheld.«

Både Exodus til iOS og Android er nu blokeret, fremgår det af Wired-artiklen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Først skal brugeren downloade og acceptere et Enterprise certifikat, og der bliver advaret.
Derefter skal brugeren så download en malware app.

Hvis man begynder at downloade apps til sin iPhone fra andre kilder end Apples AppStore, så er man selv ude om det.

PS: Jeg har selv accepteret certifikater og installeret apps, men dette fra troværdige kilder.

René Nielsen

NSA?


Nej, det er den italienske politi skandale med app's forklædt som teleudbydere som f.eks. "Wind Tre SpA".

I korte træk lokkede politiet mistænkte til at installere en app som angiveligt gav fordele hos teleudbyderen. Appen hentede så nogen malware men skulle kontrolere via EMEI nummer om telefonen skulle overvåges. Altså om der var en dommerkendelse ..... den del virkede bare ikke.

Problemet var/er at disse app kræver dommerkendelse i Italien og apps'ene spredte sig ud til ikke-mistænkte og det på en måde som svækkede sikkerheden på telefonen.

Så lidt billedlig talt, har det italienske politi svækket mange italieneres telefoner UDEN retskendelse. Det er en stor skandale i Italien og får vores Tibet-sag til at blegne.

Log ind eller Opret konto for at kommentere