In december ontdekte cyberbeveiligingsbedrijf FireEye een bug in de nieuwste versie van Apple's iOS, genaamd 'Masque Attack', die staat toe dat kwaadaardige apps legitieme apps met dezelfde naam vervangen, maar kon geen concrete voorbeelden van de exploit aanwijzen gebruik. Het team heeft sindsdien drie afgeleide aanvallen ontdekt: Masque Extension, Manifest Masque, Plugin Masque – en onthulde bovendien bewijs dat de Masque Attack werd gebruikt om populaire berichten na te bootsen apps.
Bijgewerkt op 08-06-2015 door Kyle Wiggers: Details toegevoegd van Masque Attack-derivaten en bewijs van de exploit in het wild.
Aanbevolen video's
Als Vuuroog Een paar maanden geleden uitgelegd, stelt de originele Masque Attack iOS 7 en 8 hackers in staat nep-apps op iOS-apparaten te installeren via e-mail of sms-berichten als de app-namen overeenkomen. Zolang de hacker de valse, geïnfecteerde app dezelfde naam geeft als de echte, kunnen hackers het apparaat infiltreren. Natuurlijk moeten iOS-gebruikers de app nog steeds downloaden via sms of e-mail, in plaats van rechtstreeks naar de App Store te gaan en naar dezelfde app te zoeken.
Als gebruikers de app echter installeren via de link van de hackers, wordt de kwaadaardige versie overgenomen via de echte app op de iPhone of iPad van de gebruiker, waar deze vervolgens de persoonlijke gegevens van de gebruiker kan stelen informatie. Zelfs nadat gebruikers de telefoon opnieuw hebben opgestart, blijft de kwaadaardige app werken, aldus FireEye. “Het is een zeer krachtige kwetsbaarheid en gemakkelijk te misbruiken”, zegt Tao Wei, Senior Staff Research Scientist van FireEye. Reuters.
Nieuwe exploits
Een andere groep onderzoekers van TrendMicro ontdekte dat, aangezien veel iOS-apps geen versleuteling hebben, de Masque Attack-bug zich ook op bepaalde legitieme apps kan richten. Hackers hebben toegang tot gevoelige gegevens die niet zijn gecodeerd van legitieme apps die al op de telefoon bestaan. Om dit te laten werken, moeten gebruikers natuurlijk nog steeds een app downloaden via een link of e-mail, in plaats van vanuit de App Store. Met andere woorden: de Masque Attack zal waarschijnlijk nog steeds geen invloed hebben op de meeste gebruikers, maar het kan slecht nieuws zijn voor zakelijke gebruikers die speciale apps van eigen bodem naar gebruikers sturen.
Maar de exploits nieuw ontdekt door FireEye vereisen geen dergelijke finagling. Masque Extension maakt gebruik van app-extensies uit iOS 8 – hooks waarmee apps in essentie met elkaar kunnen ‘praten’ – om toegang te krijgen tot gegevens in andere apps. “Een aanvaller kan een slachtoffer ertoe verleiden een interne app te installeren […] en de kwaadaardige uitbreiding van de […] app op zijn/haar apparaat in te schakelen”, aldus FireEye.
Andere exploits – Manifest Masque en Plugin Masque – stellen hackers in staat de apps en verbindingen van gebruikers te kapen. Manifest Masque, dat gedeeltelijk werd gepatcht in iOS 8.4, kan zelfs kernapps als Health, Watch en Apple Pay corrupt en onstartbaar maken. Het potentieel van Plugin Masque is zorgwekkender: het doet zich voor als een VPN verbinding en monitoren al het internetverkeer.
Waargenomen in het wild
Op de Black Hat-hackerconferentie in Las Vegas FireEye-onderzoekers zeiden dat de Masque Attack-kwetsbaarheid bestaat werd gebruikt om nep-berichtenapps te installeren die boodschappers van derden nabootsen, zoals Facebook, WhatsApp, Skype en anderen. Bovendien onthulden ze dat klanten van het Italiaanse surveillancebedrijf Hacking Team, de bedenkers van Masque Attack, de exploit al maanden gebruiken om heimelijk iPhones te monitoren.
Er kwam bewijs uit de databases van Hacking Team, waarvan de inhoud vorige maand door een hacker werd gepubliceerd. Volgens interne bedrijfse-mails onthuld door FireEye heeft Hacking Team een nabootsing van die van Apple gemaakt Newstand-app die 11 extra copycats kan downloaden: kwaadaardige versies van WhatsApp, Twitter, Facebook,
Gelukkig is het risico op toekomstige infecties echter laag: de exploit van Hacking Team vereiste fysieke toegang tot de beoogde iPhones. Toch raadde FireEye-onderzoeker Zhaofeng Chen iPhone-gebruikers aan om “hun apparaten bij te werken naar de nieuwste versie van iOS en goed te letten op de manieren waarop ze hun apps downloaden.”
Kort nadat FireEye de Masque Attack-bug had onthuld, heeft de federale overheid een waarschuwing afgegeven over de kwetsbaarheid Reuters. In het licht van de paniek veroorzaakt door de regering en de rapporten van FireEye, heeft Apple eindelijk gereageerd op de media over de dreiging die uitgaat van Masque Attack. Apple verzekerde iOS-gebruikers dat nog niemand door de malware is getroffen en dat dit iets is wat de onderzoekers hebben ontdekt. Het bedrijf prees de ingebouwde beveiliging van iOS en verzekerde gebruikers dat er niets met hen zal gebeuren zolang ze apps alleen rechtstreeks vanuit de App Store downloaden.
“We hebben OS X en iOS ontworpen met ingebouwde beveiligingsmaatregelen om klanten te beschermen en hen te waarschuwen voordat mogelijk schadelijke software wordt geïnstalleerd”, vertelde een woordvoerder van Apple. ik meer. “We zijn niet op de hoogte van klanten die daadwerkelijk door deze aanval zijn getroffen. We moedigen klanten aan om alleen te downloaden van vertrouwde bronnen zoals de App Store en aandacht te besteden aan eventuele waarschuwingen terwijl ze apps downloaden. Zakelijke gebruikers die apps op maat installeren, moeten apps installeren vanaf de beveiligde website van hun bedrijf.”
Op het moment van schrijven heeft FireEye bevestigd dat Masque Attack invloed kan hebben op elk apparaat met iOS 7.1.1, 7.1.2, 8.0, 8.1 en 8.1.1 bèta, ongeacht of je je apparaat hebt gejailbreakt. Masque Attack en zijn afgeleiden zijn gedeeltelijk gepatcht in iOS 8.4, maar in de tussentijd wordt gebruikers geadviseerd af te zien van downloaden alle apps van andere bronnen dan de officiële App Store en om te stoppen met het downloaden van apps uit pop-ups, e-mails, webpagina's of andere buitenlandse bronnen.
Updates:
Bijgewerkt op 21-11-2014 door Malarie Gokey: Rapport toegevoegd van onderzoekers die een grotere kwetsbaarheid in de Masque Attack-bug ontdekten.
Bijgewerkt op 14-11-2014 door Malarie Gokey: Commentaar van Apple toegevoegd waarin de ernst van de dreiging van Masque Attack buiten beschouwing wordt gelaten.
Aanbevelingen van de redactie
- iPadOS 17 heeft mijn favoriete iPad-functie zojuist nog beter gemaakt
- Heb je een iPhone, iPad of Apple Watch? Je moet het nu bijwerken
- 11 functies in iOS 17 die ik niet kan wachten om te gebruiken op mijn iPhone
- iOS 17: Apple heeft niet de enige functie toegevoegd waar ik op heb gewacht
- iOS 17 is niet de iPhone-update waar ik op hoopte
