I december afslørede cybersikkerhedsfirmaet FireEye en fejl i den seneste version af Apples iOS, kaldet "Masque Attack", der tillader ondsindede apps at erstatte legitime apps af samme navn, men var ikke i stand til at pege på konkrete eksempler på udnyttelsen i brug. Holdet har siden afsløret tre afledte angreb - Masque Extension, Manifest Masque, Plugin Masque - og desuden afslørede beviser for, at Masque Attack blev brugt til at efterligne populære beskeder apps.
Opdateret den 08-06-2015 af Kyle Wiggers: Tilføjede detaljer om Masque Attack-derivater og beviser for udnyttelsen i naturen.
Anbefalede videoer
Som FireEye forklaret for et par måneder tilbage, giver den originale Masque Attack iOS 7 og 8 hackere mulighed for at installere falske apps på iOS-enheder via e-mail eller tekstbeskeder, hvis app-navnene matcher. Så længe hackeren giver den falske, inficerede app samme navn som den rigtige, kan hackere infiltrere enheden. Selvfølgelig skal iOS-brugere stadig downloade appen fra teksten eller e-mailen, i modsætning til at gå direkte til App Store og søge efter den samme app.
Men hvis brugere installerer appen ved hjælp af linket fra hackerne, tager den ondsindede version over den rigtige app på brugerens iPhone eller iPad, hvor den så kan stjæle brugerens personlige Information. Selv efter brugere genstarter telefonen, vil den ondsindede app stadig fungere, sagde FireEye. "Det er en meget stærk sårbarhed, og den er let at udnytte," sagde FireEye Senior Staff Research Scientist Tao Wei ifølge Reuters.
Nye bedrifter
Endnu en gruppe forskere fra Trend Micro fandt ud af, at da mange iOS-apps ikke har kryptering, kan Masque Attack-fejlen også målrette mod nogle legitime apps. Hackere kan få adgang til følsomme data, der ikke er krypteret fra legitime apps, der allerede findes på telefonen. For at dette skal virke, skal brugerne selvfølgelig stadig downloade en app fra et link eller en e-mail i stedet for fra App Store. Med andre ord vil Masque Attack stadig sandsynligvis ikke påvirke de fleste brugere, men det kan være dårlige nyheder for virksomhedsbrugere, der sender specielle, hjemmelavede apps til brugerne.
Men bedrifterne nyopdaget af FireEye kræver ingen sådan finling. Masque Extension udnytter iOS 8 app-udvidelser - kroge, der tillader apps at "tale" med hinanden i det væsentlige - for at få adgang til data i andre apps. "En angriber kan lokke et offer til at installere en intern app […] og aktivere den ondsindede udvidelse af […]-appen på hans/hendes enhed," sagde FireEye.
Andre udnyttelser - Manifest Masque og Plugin Masque - giver hackere mulighed for at kapre brugernes apps og forbindelse. Manifest Masque, som blev delvist patchet i iOS 8.4, kan gøre selv kerneapps som Health, Watch og Apple Pay korrupte og ulancerede. Potentialet ved Plugin Masque er mere bekymrende - det fremstår som et VPN forbindelse og skærme al internettrafik.
Observeret i naturen
Ved Black Hat hackerkonferencen i Las Vegas, FireEye-forskere sagde Masque Attack-sårbarheden blev brugt til at installere falske meddelelsesapps, der efterligner tredjeparts messengers som Facebook, WhatsApp, Skype og andre. Derudover afslørede de, at kunder hos det italienske overvågningsfirma Hacking Team, ophavsmændene til Masque Attack, har brugt udnyttelsen i flere måneder til i det skjulte at overvåge iPhones.
Beviser kom fra Hacking Teams databaser, hvis indhold blev offentliggjort af en hacker i sidste måned. Ifølge interne firma-e-mails afsløret af FireEye skabte Hacking Team en efterligning af Apples Newstand-app, der er i stand til at downloade 11 ekstra copycats: ondsindede versioner af WhatsApp, Twitter, Facebook,
Heldigvis er risikoen for fremtidig infektion dog lav - Hacking Teams udnyttelse krævede fysisk adgang til de målrettede iPhones. Alligevel anbefalede FireEye-forsker Zhaofeng Chen iPhone-brugere at "opdatere deres enheder til den nyeste version af iOS og være meget opmærksomme på, hvordan de downloader deres apps."
Kort efter FireEye afslørede Masque Attack-fejlen, udsendte den føderale regering en advarsel om sårbarheden, ifølge Reuters. I lyset af panikken inspireret af regeringen og FireEyes rapporter, udsendte Apple endelig et svar til medierne om truslen fra Masque Attack. Apple forsikrede iOS-brugere om, at ingen er blevet ramt af malwaren endnu, og det er bare noget, forskerne har opdaget. Virksomheden udråbte den indbyggede sikkerhed i iOS og forsikrede brugerne om, at der ikke vil ske noget med dem, så længe de kun downloader apps direkte fra App Store.
"Vi designede OS X og iOS med indbyggede sikkerhedsforanstaltninger for at hjælpe med at beskytte kunder og advare dem, før de installerer potentielt skadelig software," fortalte en Apple-talsmand. iMere. "Vi er ikke bekendt med nogen kunder, der faktisk er blevet berørt af dette angreb. Vi opfordrer kunder til kun at downloade fra pålidelige kilder som App Store og være opmærksomme på eventuelle advarsler, når de downloader apps. Virksomhedsbrugere, der installerer tilpassede apps, bør installere apps fra deres virksomheds sikre websted."
I skrivende stund har FireEye bekræftet, at Masque Attack kan påvirke enhver enhed, der kører iOS 7.1.1, 7.1.2, 8.0, 8.1 og 8.1.1 beta, uanset om du har jailbreaket din enhed. Masque Attack og dets derivater er blevet delvist patchet i iOS 8.4, men i mellemtiden rådes brugerne til at undlade at downloade alle apps fra andre kilder end den officielle App Store og for at stoppe med at downloade apps fra pop op-vinduer, e-mails, websider eller andre udenlandske kilder.
Opdateringer:
Opdateret den 21-11-2014 af Malarie Gokey: Tilføjet rapport fra forskere, der opdagede en større sårbarhed i Masque Attack-fejlen.
Opdateret den 14-11-2014 af Malarie Gokey: Tilføjet kommentarer fra Apple, der diskonterer alvoren af truslen fra Masque Attack.
Redaktørens anbefalinger
- iPadOS 17 har lige gjort min yndlings iPad-funktion endnu bedre
- Har du en iPhone, iPad eller Apple Watch? Du skal opdatere den lige nu
- 11 funktioner i iOS 17, som jeg ikke kan vente med at bruge på min iPhone
- iOS 17: Apple tilføjede ikke den ene funktion, jeg har ventet på
- iOS 17 er ikke den iPhone-opdatering, jeg håbede på
