Masque Attack utnytter iOS-enheter gjennom apper

I desember avdekket nettsikkerhetsselskapet FireEye en feil i den nyeste versjonen av Apples iOS, kalt "Masque Attack", som lar ondsinnede apper erstatte legitime apper med samme navn, men klarte ikke å peke på konkrete eksempler på utnyttelsen i bruk. Teamet har siden avdekket tre avledede angrep - Masque Extension, Manifest Masque, Plugin Masque - og videre avslørte bevis på at Masque Attack ble brukt til å etterligne populære meldinger apper.

Oppdatert 08-06-2015 av Kyle Wiggers: Lagt til detaljer om Masque Attack-derivater og bevis på utnyttelsen i naturen.

Anbefalte videoer

Som FireEye for noen måneder tilbake, tillater den originale Masque Attack iOS 7 og 8 hackere å installere falske apper på iOS-enheter via e-post eller tekstmeldinger hvis appnavnene stemmer overens. Så lenge hackeren gir den falske, infiserte appen samme navn som den ekte, kan hackere infiltrere enheten. Selvfølgelig må iOS-brukere fortsatt laste ned appen fra teksten eller e-posten, i motsetning til å gå direkte til App Store og søke etter den samme appen.

Men hvis brukere installerer appen ved å bruke lenken fra hackerne, tar den ondsinnede versjonen over den virkelige appen på brukerens iPhone eller iPad, hvor den så kan stjele brukerens personlige informasjon. Selv etter at brukerne har startet telefonen på nytt, vil den skadelige appen fortsatt fungere, sa FireEye. "Det er en veldig kraftig sårbarhet og den er lett å utnytte," sa FireEye Senior Staff Research Scientist Tao Wei, ifølge Reuters.

Nye bedrifter

En annen gruppe forskere fra Trend Micro fant ut at siden mange iOS-apper ikke har kryptering, kan Masque Attack-feilen også målrette mot noen legitime apper. Hackere kan få tilgang til sensitive data som ikke er kryptert fra legitime apper som allerede finnes på telefonen. Selvfølgelig, for at dette skal fungere, må brukere fortsatt laste ned en app fra en lenke eller e-post, i stedet for fra App Store. Med andre ord, Masque Attack vil fortsatt sannsynligvis ikke påvirke de fleste brukere, men det kan være dårlige nyheter for bedriftsbrukere som sender spesielle, hjemmelagde apper til brukere.

Men bedriftene nylig oppdaget av FireEye krever ingen slik finling. Masque Extension drar fordel av iOS 8-apputvidelser - kroker som lar apper "snakke" med hverandre, i hovedsak - for å få tilgang til data i andre apper. «En angriper kan lokke et offer til å installere en intern app […] og aktivere den ondsinnede utvidelsen av […]-appen på hans/hennes enhet,» sa FireEye.

Andre utnyttelser – Manifest Masque og Plugin Masque – lar hackere kapre brukernes apper og tilkobling. Manifest Masque, som ble delvis lappet i iOS 8.4, kan gjøre selv kjerneapper som Health, Watch og Apple Pay korrupte og ulanserbare. Potensialet til Plugin Masque er mer bekymringsfullt - det poserer som en VPN tilkobling og monitorer all internetttrafikk.

Observert i naturen

På Black Hat-hackerkonferansen i Las Vegas, FireEye-forskere sa Masque Attack-sårbarheten ble brukt til å installere falske meldingsapper som etterligner tredjeparts messengers som Facebook, WhatsApp, Skype og andre. I tillegg avslørte de at kunder til det italienske overvåkingsselskapet Hacking Team, opphavsmennene til Masque Attack, har brukt utnyttelsen i flere måneder for å overvåke iPhones i det skjulte.

Bevis kom fra Hacking Teams databaser, hvis innhold ble publisert av en hacker forrige måned. I følge interne firma-e-poster avslørt av FireEye, skapte Hacking Team en etterligning av Apples Newstand-app som kan laste ned 11 ekstra copycats: ondsinnede versjoner av WhatsApp, Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram og VK. Appene tok opp chatter, meldinger, bilder og innlegg.

Heldigvis er risikoen for fremtidig infeksjon lav - Hacking Teams utnyttelse krevde fysisk tilgang til de målrettede iPhone-ene. Likevel anbefalte FireEye-forsker Zhaofeng Chen iPhone-brukere å "oppdatere enhetene sine til den nyeste versjonen av iOS og følge nøye med på måtene de laster ned appene sine på."

Kort tid etter at FireEye avslørte Masque Attack-feilen, utstedte den føderale regjeringen en advarsel om sårbarheten, ifølge Reuters. I lys av panikken inspirert av regjeringen og FireEyes rapporter, ga Apple endelig et svar til media om trusselen Masque Attack utgjør. Apple forsikret iOS-brukere om at ingen har blitt påvirket av skadelig programvare ennå, og det er bare noe forskerne oppdaget. Selskapet hevdet den innebygde sikkerheten til iOS og forsikret brukerne om at ingenting vil skje med dem så lenge de bare laster ned apper direkte fra App Store.

"Vi designet OS X og iOS med innebygde sikkerhetstiltak for å beskytte kunder og advare dem før du installerer potensielt skadelig programvare," sa en talsperson for Apple iMer. "Vi er ikke klar over noen kunder som faktisk har blitt berørt av dette angrepet. Vi oppfordrer kunder til kun å laste ned fra pålitelige kilder som App Store og ta hensyn til eventuelle advarsler når de laster ned apper. Bedriftsbrukere som installerer tilpassede apper, bør installere apper fra selskapets sikre nettsted."

Når dette skrives, har FireEye bekreftet at Masque Attack kan påvirke enhver enhet som kjører iOS 7.1.1, 7.1.2, 8.0, 8.1 og 8.1.1 beta, uavhengig av om du har jailbroken enheten din. Masque Attack og dets derivater har blitt delvis lappet i iOS 8.4, men i mellomtiden anbefales brukere å avstå fra å laste ned alle apper fra andre kilder enn den offisielle App Store og for å slutte å laste ned apper fra popup-vinduer, e-poster, websider eller andre utenlandske kilder.

Oppdateringer:

Oppdatert 21.11.2014 av Malarie Gokey: Lagt til rapport fra forskere som oppdaget en større sårbarhet i Masque Attack-feilen.

Oppdatert 14-11-2014 av Malarie Gokey: Lagt til kommentarer fra Apple som diskonterer alvorlighetsgraden av trusselen fra Masque Attack.

Redaktørenes anbefalinger

  • iPadOS 17 har nettopp gjort min favoritt-iPad-funksjon enda bedre
  • Har du en iPhone, iPad eller Apple Watch? Du må oppdatere den akkurat nå
  • 11 funksjoner i iOS 17 som jeg gleder meg til å bruke på iPhone
  • iOS 17: Apple la ikke til den ene funksjonen jeg har ventet på
  • iOS 17 er ikke iPhone-oppdateringen jeg håpet på