En décembre, la société de cybersécurité FireEye a découvert un bug dans la dernière version d'iOS d'Apple, surnommé « Masque Attack », qui permet à des applications malveillantes de remplacer des applications légitimes du même nom, mais n'a pas été en mesure de citer des exemples concrets d'exploit dans utiliser. L’équipe a depuis découvert trois attaques dérivées: Masque Extension, Manifest Masque, Plugin Masque. – et a en outre révélé des preuves selon lesquelles l'attaque au masque avait été utilisée pour usurper l'identité de messages populaires. applications.
Mis à jour le 06/08/2015 par Kyle Wiggers: Ajout de détails sur les dérivés de Masque Attack et de preuves de l'exploit dans la nature.
Vidéos recommandées
Comme Oeil de feu expliqué il y a quelques mois, le Masque Attack original iOS 7 et 8 permet aux pirates informatiques d'installer de fausses applications sur les appareils iOS par e-mail ou par SMS si les noms des applications correspondent. Tant que le pirate informatique donne à la fausse application infectée le même nom que la vraie, les pirates peuvent infiltrer l’appareil. Bien entendu, les utilisateurs iOS doivent toujours télécharger l'application à partir du texte ou du courrier électronique, au lieu d'accéder directement à l'App Store et de rechercher la même application.
Cependant, si les utilisateurs installent l'application en utilisant le lien fourni par les pirates, la version malveillante prend sur la véritable application sur l'iPhone ou l'iPad de l'utilisateur, où elle peut ensuite voler les données personnelles de l'utilisateur. information. Même après le redémarrage du téléphone, l'application malveillante fonctionnera toujours, a déclaré FireEye. "Il s'agit d'une vulnérabilité très puissante et facile à exploiter", a déclaré Tao Wei, chercheur principal chez FireEye, selon Reuters.
Nouveaux exploits
Un autre groupe de chercheurs de Tendance Micro a découvert que, comme de nombreuses applications iOS n'ont pas de cryptage, le bug Masque Attack peut également cibler certaines applications légitimes. Les pirates peuvent accéder aux données sensibles qui ne sont pas cryptées à partir d'applications légitimes déjà présentes sur le téléphone. Bien entendu, pour que cela fonctionne, les utilisateurs doivent toujours télécharger une application à partir d’un lien ou d’un e-mail, plutôt que depuis l’App Store. En d’autres termes, l’attaque Masque n’affectera probablement pas la plupart des utilisateurs, mais cela pourrait être une mauvaise nouvelle pour les utilisateurs d’entreprise qui envoient des applications spéciales développées en interne aux utilisateurs.
Mais les exploits nouvellement découvert par FireEye ne nécessitent pas de telles manipulations. Masque Extension tire parti des extensions d'application iOS 8 – des crochets qui permettent aux applications de « communiquer » entre elles, essentiellement – pour accéder aux données d'autres applications. « Un attaquant peut inciter une victime à installer une application interne […] et à activer l'extension malveillante de l'application […] sur son appareil », a déclaré FireEye.
D’autres exploits – Manifest Masque et Plugin Masque – permettent aux pirates de détourner les applications et la connexion des utilisateurs. Manifest Masque, qui a été partiellement corrigé dans iOS 8.4, peut rendre même les applications principales comme Health, Watch et Apple Pay corrompues et impossibles à lancer. Le potentiel de Plugin Masque est plus inquiétant: il se présente comme un VPN connexion et moniteurs tout le trafic Internet.
Observé à l'état sauvage
Lors de la conférence des hackers Black Hat à Las Vegas, Les chercheurs de FireEye ont déclaré que la vulnérabilité Masque Attack a été utilisé pour installer de fausses applications de messagerie imitant des messagers tiers comme Facebook, WhatsApp, Skype et autres. De plus, ils ont révélé que les clients de la société de surveillance italienne Hacking Team, à l'origine de Masque Attack, utilisaient cet exploit depuis des mois pour surveiller subrepticement les iPhones.
Des preuves ont émergé des bases de données de Hacking Team, dont le contenu a été publié par un pirate informatique le mois dernier. Selon les e-mails internes de l'entreprise révélés par FireEye, Hacking Team a créé un mimétisme de celui d'Apple. Application Kiosque capable de télécharger 11 copieurs supplémentaires: versions malveillantes de WhatsApp, Twitter, Facebook,
Heureusement, le risque d’infection future est faible: l’exploit de Hacking Team nécessitait un accès physique aux iPhones ciblés. Néanmoins, le chercheur de FireEye, Zhaofeng Chen, a recommandé aux utilisateurs d'iPhone de « mettre à jour leurs appareils avec la dernière version d'iOS et de prêter une attention particulière aux moyens par lesquels ils téléchargent leurs applications ».
Peu de temps après que FireEye a révélé le bug Masque Attack, le gouvernement fédéral a émis un avertissement concernant la vulnérabilité, selon Reuters. À la lumière de la panique suscitée par le gouvernement et les rapports de FireEye, Apple a finalement répondu aux médias sur la menace posée par Masque Attack. Apple a assuré aux utilisateurs d’iOS que personne n’a encore été affecté par le malware et c’est juste quelque chose que les chercheurs ont découvert. La société a vanté la sécurité intégrée d'iOS et a assuré aux utilisateurs que rien ne leur arriverait tant qu'ils téléchargeraient uniquement des applications directement depuis l'App Store.
"Nous avons conçu OS X et iOS avec des mesures de sécurité intégrées pour aider à protéger les clients et les avertir avant d'installer un logiciel potentiellement malveillant", a déclaré un porte-parole d'Apple. jePlus. « À notre connaissance, aucun client n’a été réellement touché par cette attaque. Nous encourageons les clients à télécharger uniquement à partir de sources fiables telles que l'App Store et à prêter attention aux avertissements lorsqu'ils téléchargent des applications. Les utilisateurs d’entreprise qui installent des applications personnalisées doivent installer les applications à partir du site Web sécurisé de leur entreprise.
Au moment d'écrire ces lignes, FireEye a confirmé que Masque Attack peut affecter n'importe quel appareil exécutant iOS 7.1.1, 7.1.2, 8.0, 8.1 et 8.1.1 bêta, que vous ayez ou non jailbreaké votre appareil. Masque Attack et ses dérivés ont été partiellement corrigés dans iOS 8.4, mais en attendant, il est conseillé aux utilisateurs de s'abstenir de télécharger toutes les applications provenant de sources autres que l'App Store officiel et pour arrêter de télécharger des applications à partir de fenêtres contextuelles, d'e-mails, de pages Web ou d'autres sources étrangères. sources.
Mises à jour:
Mis à jour le 21/11/2014 par Malarie Gokey: Ajout d'un rapport de chercheurs qui ont découvert une plus grande vulnérabilité dans le bug Masque Attack.
Mis à jour le 14/11/2014 par Malarie Gokey: Ajout de commentaires d'Apple minimisant la gravité de la menace posée par Masque Attack.
Recommandations des rédacteurs
- iPadOS 17 vient d’améliorer encore ma fonctionnalité iPad préférée
- Vous possédez un iPhone, un iPad ou une Apple Watch? Vous devez le mettre à jour maintenant
- 11 fonctionnalités d'iOS 17 que j'ai hâte d'utiliser sur mon iPhone
- iOS 17: Apple n’a pas ajouté la fonctionnalité que j’attendais
- iOS 17 n'est pas la mise à jour iPhone que j'espérais
