Spyware brugte Apple-enterprise-certifikat for at komme på iPhones
Exodus-spywaren er blevet distribueret ud til Android-enheder via Google Play, mens aktøren bag tilsyneladnede har udnyttet Apple’s Developer Enterprise Program til at forsøge at liste den ondsindede software på iOS-enheder.
Det skriver Wired med henvisning til et indlæg fra sikkerhedsvirksomheden Lookout, der har kigget nærmere på distributionen af Exodus.
Ifølge indlægget hos Lookout er Exodus overvågningssoftware, der kan hive blandt andet kontakter, lokation og billeder ud af en inficeret enhed.
Lookout oplyser, det tidligere været fremme, at malwaren har ligget på Google Play, og nu kan virksomheden fortælle, at softwaren også eksisterer i en iOS-version.
Wired oplyser, det er uklart, hvorvidt Exodus har været målrettet en bredere gruppe eller enkelte individer.
Certifikater
I udgangspunktet kan der kun installeres software på en ikke-jailbreak’ed iPhone via Apples App Store eller via det såkaldte Apple Developer Enterprise-program.
Sidstnævnte kan bruges af virksomheder, som via et Apple-udstedt certifikat, kan putte egen software på eksempelvis medarbejderes telefoner.
Aktøren bag Exodus har ifølge Lookout enten ikke forsøgt eller har ikke formået at få softwaren i Apples App Store. I stedet er potentielle ofre via phishing-sider blevet gelejdet til en udgave af app’en, der har været signeret via et Apple-udvikler-certifikat.
Og på den måde har Exodus kunnet installeres på iOS uden om App Store.
Ifølge indlægget hos Lookout har iOS-udgaven af Exodus ikke været lige så sofistikeret som Android-versionen. Exodus på iOS skulle dog have været i stand til at tilgå blandt andet kontaktoplysninger, lydoptagelser og GPS-placering.
It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København. Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark
Private API'er
Solutions architect og partner i app-virksomheden iDeal Development Esben Bjerregaard arbejder med blandt andet udvikling til iOS. iDeal Development har også et enterprise-certifikat til iOS.
Esben Bjerregaard bemærker, at sådan et certifikat udover at gøre det muligt at installere apps udenom App Store også giver udvidede rettigheder på telefonen.
»Kan private API’er kaldes, kan man alt muligt skummelt, som en app, der hentes fra App Store, aldrig ville kunne. Tanken med enterprise-certifikater er, at det er virksomhedens it-afdeling, der garanterer, at appen opfører sig pænt,« skriver han i en mail.
Ifølge Esben Bjerregaard giver private API'er blandt andet adgang til CoreTelephony på iOS, hvilket gør det muligt at læse SMS'er og se, hvem der ringer.
Det fremgår ikke direkte af artiklen hos Wired eller indlægget hos Lookout, hvorvidt Exodus har gjort brug af private API'er.
Hvad API-adgang angår, citerer Wired Adam Bauer fra Lookout for at sige:
»In terms of capabilities on the iOS side, they’re doing pretty much everything I’m aware of that you can do through documented Apple APIs, but they’re abusing them to do surveillance-type activities.«
Adam Bauer fremhæver desuden overfor Wired, at aktøren bag Exodus har et højt niveau af professionalisme.
Esben Bjerregaard bemærker, at Apple til hver en tid kan tilbagekalde et certifikat. Og så virker appen ikke længere.
»Brugeren skal i øvrigt godkende certifikatet, når der installeres. Det er ikke helt let at komme til ved et uheld.«
Både Exodus til iOS og Android er nu blokeret, fremgår det af Wired-artiklen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
