Spyware brugte Apple-enterprise-certifikat for at komme på iPhones

3 kommentarer.  Hop til debatten
Spyware brugte Apple-enterprise-certifikat for at komme på iPhones
Illustration: alexskopje / bigstock.
Mens det lykkedes aktøren bag Exodus at putte spywaren direkte i Google Play, blev et certifikat brugt til at få den skadelige software på iOS.
Reportage11. april 2019 kl. 09:52
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Exodus-spywaren er blevet distribueret ud til Android-enheder via Google Play, mens aktøren bag tilsyneladnede har udnyttet Apple’s Developer Enterprise Program til at forsøge at liste den ondsindede software på iOS-enheder.

Det skriver Wired med henvisning til et indlæg fra sikkerhedsvirksomheden Lookout, der har kigget nærmere på distributionen af Exodus.

Ifølge indlægget hos Lookout er Exodus overvågningssoftware, der kan hive blandt andet kontakter, lokation og billeder ud af en inficeret enhed.

Lookout oplyser, det tidligere været fremme, at malwaren har ligget på Google Play, og nu kan virksomheden fortælle, at softwaren også eksisterer i en iOS-version.

Artiklen fortsætter efter annoncen

Wired oplyser, det er uklart, hvorvidt Exodus har været målrettet en bredere gruppe eller enkelte individer.

Certifikater

I udgangspunktet kan der kun installeres software på en ikke-jailbreak’ed iPhone via Apples App Store eller via det såkaldte Apple Developer Enterprise-program.

Sidstnævnte kan bruges af virksomheder, som via et Apple-udstedt certifikat, kan putte egen software på eksempelvis medarbejderes telefoner.

Aktøren bag Exodus har ifølge Lookout enten ikke forsøgt eller har ikke formået at få softwaren i Apples App Store. I stedet er potentielle ofre via phishing-sider blevet gelejdet til en udgave af app’en, der har været signeret via et Apple-udvikler-certifikat.

Og på den måde har Exodus kunnet installeres på iOS uden om App Store.

Ifølge indlægget hos Lookout har iOS-udgaven af Exodus ikke været lige så sofistikeret som Android-versionen. Exodus på iOS skulle dog have været i stand til at tilgå blandt andet kontaktoplysninger, lydoptagelser og GPS-placering.

It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København.

Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Læs mere og tilmeld dig

Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark

Private API'er

Solutions architect og partner i app-virksomheden iDeal Development Esben Bjerregaard arbejder med blandt andet udvikling til iOS. iDeal Development har også et enterprise-certifikat til iOS.

Esben Bjerregaard bemærker, at sådan et certifikat udover at gøre det muligt at installere apps udenom App Store også giver udvidede rettigheder på telefonen.

»Kan private API’er kaldes, kan man alt muligt skummelt, som en app, der hentes fra App Store, aldrig ville kunne. Tanken med enterprise-certifikater er, at det er virksomhedens it-afdeling, der garanterer, at appen opfører sig pænt,« skriver han i en mail.

Ifølge Esben Bjerregaard giver private API'er blandt andet adgang til CoreTelephony på iOS, hvilket gør det muligt at læse SMS'er og se, hvem der ringer.

Det fremgår ikke direkte af artiklen hos Wired eller indlægget hos Lookout, hvorvidt Exodus har gjort brug af private API'er.

Hvad API-adgang angår, citerer Wired Adam Bauer fra Lookout for at sige:

»In terms of capabilities on the iOS side, they’re doing pretty much everything I’m aware of that you can do through documented Apple APIs, but they’re abusing them to do surveillance-type activities.«

Adam Bauer fremhæver desuden overfor Wired, at aktøren bag Exodus har et højt niveau af professionalisme.

Esben Bjerregaard bemærker, at Apple til hver en tid kan tilbagekalde et certifikat. Og så virker appen ikke længere.

»Brugeren skal i øvrigt godkende certifikatet, når der installeres. Det er ikke helt let at komme til ved et uheld.«

Både Exodus til iOS og Android er nu blokeret, fremgår det af Wired-artiklen.

3 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
11. april 2019 kl. 14:23

NSA?

Nej, det er den italienske politi skandale med app's forklædt som teleudbydere som f.eks. "Wind Tre SpA".

I korte træk lokkede politiet mistænkte til at installere en app som angiveligt gav fordele hos teleudbyderen. Appen hentede så nogen malware men skulle kontrolere via EMEI nummer om telefonen skulle overvåges. Altså om der var en dommerkendelse ..... den del virkede bare ikke.

Problemet var/er at disse app kræver dommerkendelse i Italien og apps'ene spredte sig ud til ikke-mistænkte og det på en måde som svækkede sikkerheden på telefonen.

Så lidt billedlig talt, har det italienske politi svækket mange italieneres telefoner UDEN retskendelse. Det er en stor skandale i Italien og får vores Tibet-sag til at blegne.

2
11. april 2019 kl. 12:40

NSA?

1
11. april 2019 kl. 12:09

Først skal brugeren downloade og acceptere et Enterprise certifikat, og der bliver advaret. Derefter skal brugeren så download en malware app.

Hvis man begynder at downloade apps til sin iPhone fra andre kilder end Apples AppStore, så er man selv ude om det.

PS: Jeg har selv accepteret certifikater og installeret apps, men dette fra troværdige kilder.