I december upptäckte cybersäkerhetsföretaget FireEye en bugg i den senaste versionen av Apples iOS, kallad "Masque Attack", som tillåter skadliga appar att ersätta legitima appar med samma namn, men kunde inte peka på konkreta exempel på utnyttjandet i använda sig av. Teamet har sedan dess avslöjat tre härledda attacker - Masque Extension, Manifest Masque, Plugin Masque — och dessutom avslöjade bevis för att Masque Attack användes för att imitera populära meddelanden appar.
Uppdaterad 2015-06-08 av Kyle Wiggers: Lade till detaljer om Masque Attack-derivat och bevis på utnyttjandet i det vilda.
Rekommenderade videor
Som FireEye förklarade för några månader sedan, den ursprungliga Masque Attack iOS 7 och 8 tillåter hackare att installera falska appar på iOS-enheter via e-post eller textmeddelanden om appnamnen matchar. Så länge hackaren ger den falska, infekterade appen samma namn som den riktiga, kan hackare infiltrera enheten. Naturligtvis måste iOS-användare fortfarande ladda ner appen från sms eller e-post, i motsats till att gå direkt till App Store och söka efter samma app.
Men om användare installerar appen med hjälp av länken från hackarna, tar den skadliga versionen över den riktiga appen på användarens iPhone eller iPad, där den sedan kan stjäla användarens personliga information. Även efter att användare startat om telefonen kommer den skadliga appen fortfarande att fungera, sa FireEye. "Det är en mycket kraftfull sårbarhet och den är lätt att exploatera," sa FireEye Senior Staff Research Scientist Tao Wei, enligt Reuters.
Nya bedrifter
Ytterligare en grupp forskare från Trend Micro upptäckte att eftersom många iOS-appar inte har kryptering kan Masque Attack-felet också rikta sig mot vissa legitima appar. Hackare kan komma åt känslig data som inte är krypterad från legitima appar som redan finns på telefonen. Naturligtvis, för att detta ska fungera måste användare fortfarande ladda ner en app från en länk eller e-post, istället för från App Store. Med andra ord, Masque Attack kommer förmodligen fortfarande inte att påverka de flesta användare, men det kan vara dåliga nyheter för företagsanvändare som skickar speciella, hemodlade appar till användare.
Men bedrifterna nyligen upptäckt av FireEye kräver ingen sådan finling. Masque Extension drar fördel av iOS 8-apptillägg – krokar som tillåter appar att "prata" med varandra, i huvudsak – för att få tillgång till data i andra appar. "En angripare kan locka ett offer att installera en intern app […] och att aktivera den skadliga förlängningen av […]-appen på hans/hennes enhet", sa FireEye.
Andra utnyttjande – Manifest Masque och Plugin Masque – tillåter hackare att kapa användares appar och anslutning. Manifest Masque, som delvis patchades i iOS 8.4, kan göra till och med kärnappar som Health, Watch och Apple Pay korrupta och ostartbara. Potentialen hos Plugin Masque är mer oroande – den poserar som en VPN anslutning och övervakar all internettrafik.
Observerad i det vilda
På Black Hat hackerkonferensen i Las Vegas, FireEye-forskare sa att Masque Attack-sårbarheten användes för att installera falska meddelandeappar som efterliknar tredje parts budbärare som Facebook, WhatsApp, Skype och andra. Dessutom avslöjade de att kunder till det italienska övervakningsföretaget Hacking Team, upphovsmännen till Masque Attack, har använt exploateringen i månader för att i smyg övervaka iPhones.
Bevis kom från Hacking Teams databaser, vars innehåll publicerades av en hackare förra månaden. Enligt företagets interna e-postmeddelanden som avslöjats av FireEye skapade Hacking Team en mimik av Apples Newstand-app som kan ladda ner 11 ytterligare copycats: skadliga versioner av WhatsApp, Twitter, Facebook,
Tack och lov är dock risken för framtida infektion låg - Hacking Teams utnyttjande krävde fysisk åtkomst till de riktade iPhones. Fortfarande rekommenderade FireEye-forskaren Zhaofeng Chen att iPhone-användare skulle "uppdatera sina enheter till den senaste versionen av iOS och vara noggrann uppmärksam på hur de laddar ner sina appar."
Strax efter att FireEye avslöjat Masque Attack-buggen utfärdade den federala regeringen en varning om sårbarheten, enligt Reuters. I ljuset av paniken inspirerad av regeringen och FireEyes rapporter, skickade Apple äntligen ett svar till media om hotet från Masque Attack. Apple försäkrade iOS-användare att ingen har drabbats av skadlig programvara ännu och att det bara är något som forskarna upptäckt. Företaget hyllade den inbyggda säkerheten i iOS och försäkrade användarna att ingenting kommer att hända dem så länge de bara laddar ner appar direkt från App Store.
"Vi designade OS X och iOS med inbyggda säkerhetsskydd för att skydda kunderna och varna dem innan du installerar potentiellt skadlig programvara", sa en talesperson för Apple jag mer. "Vi känner inte till några kunder som faktiskt har drabbats av den här attacken. Vi uppmuntrar kunder att endast ladda ner från pålitliga källor som App Store och att vara uppmärksam på eventuella varningar när de laddar ner appar. Företagsanvändare som installerar anpassade appar bör installera appar från företagets säkra webbplats."
När detta skrivs har FireEye bekräftat att Masque Attack kan påverka vilken enhet som helst som kör iOS 7.1.1, 7.1.2, 8.0, 8.1 och 8.1.1 beta, oavsett om du har jailbreakat din enhet. Masque Attack och dess derivat har delvis patchats i iOS 8.4, men under tiden rekommenderas användare att avstå från att ladda ner alla appar från andra källor än den officiella App Store och för att sluta ladda ner appar från popup-fönster, e-postmeddelanden, webbsidor eller andra utländska källor.
Uppdateringar:
Uppdaterad 2014-11-21 av Malarie Gokey: Lade till rapport från forskare som upptäckt en större sårbarhet i Masque Attack-felet.
Uppdaterad 2014-11-14 av Malarie Gokey: Lade till kommentarer från Apple som diskonterar allvaret av hotet från Masque Attack.
Redaktörens rekommendationer
- iPadOS 17 har precis gjort min favorit-iPad-funktion ännu bättre
- Har du en iPhone, iPad eller Apple Watch? Du måste uppdatera den nu
- 11 funktioner i iOS 17 som jag inte kan vänta med att använda på min iPhone
- iOS 17: Apple lade inte till den funktion jag har väntat på
- iOS 17 är inte den iPhone-uppdatering jag hoppades på
