Apple blokkeert Wirelurker-malware, maar kan meer doen

Door: Raymon Mens - 3 reacties

De donderdag ontdekte Wirelurker-malware die zich via een nieuwe manier op iOS nestelt, is door Apple onschadelijk gemaakt. Op OMT viel eerder al te lezen dat de malware geen acute bedreiging vormde en alleen voor iPhones met jailbreak een serieus gevaar was.

WireLurker werd geĂŻnstalleerd zodra een iOS-apparaat via USB met een besmette Mac verbonden werd. Deze werden besmet door gekraakte apps uit een illegale Chinese App Store. Om de malware op iOS te installeren, werd een Enterprise-certificaat gebruikt. Apple heeft door de malware gebruikte certificaten ingetrokken, waardoor infecties niet langer mogelijk zijn.

De malware was gericht op Chinese iOS-gebruikers. Het doel van de malware was volgens onderzoeker Jonathan Zdziarski het achter­halen van de identiteit van Chinese software-piraten. WireLurker was volgens de onderzoeker verder vrij onschuldig. Apple liet het volgende weten:

“We are aware of malicious software available from a download site aimed at users in China, and we’ve blocked the identified apps to prevent them from launching,”

WireLurker was een van de eerste malware-soorten die via USB geĂŻnstalleerd werd. Het maakte gebruik van een aantal geavanceerde technieken zoals het realtime besmetten en herverpakken van applicaties. Op een iPhone zonder jailbreak was de malware steeds gelimiteerd door de iOS-sandbox en kon praktisch niets.

De 'Maiyadi' App Store was de besmettingshaard.
De ‘Maiyadi’ App Store was de besmettingshaard en is ook offline gehaald.

Certificaten en Nintendo-emulators
Volgens Zdziarski kan Apple meer doen om verspreiding van dit soort malware in de toekomst tegen te gaan. Hij noemt de mogelijkheid om, door middel van enterprise certicaten, apps buiten de App Store om te installeren onnuttig. Dat zou volgens de onderzoeker alleen bij iPhones die zich in een ‘enterprise mode’ bevinden mogelijk moeten zijn.

Zo’n modus bestaat nog niet, maar dat wil niet zeggen dat Apple niets aan de beveiliging doet. In het verleden was het mogelijk om Nintendo-emulators die met oude certificaten verpakt waren te installeren. Sinds iOS 8 worden certificaten al actiever gecheckt en is dat onmogelijk geworden.

Reacties

3 reacties
  • Profielfoto
    madcat
  • Profielfoto
    Buzz

    Zou het niet een beetje raar overkomen naar IT-beheerders toe als apparaten in de hypothetische “Enterprise mode” kwetsbaarder zouden zijn dan apparaten waarbij zo’n stand uit staat? Bovendien zouden de mensen die deze keer getroffen zijn hun toestel in dat geval toch wel in Enterprise mode hebben gezet, om hun zojuist gedownloade illegale software op hun toestel te kunnen installeren. Op het gelinkte blog wordt het iets beter uitgelegd dan hierboven, maar toch zie ik het nut dus niet helemaal van zo’n Enterprise mode. Gebruikers moeten gewoon alleen applicaties afkomstig van betrouwbare bronnen installeren, anders is het op eigen risico. En voor de rest moet het certificaten-systeem zijn werk doen.

  • Profielfoto
    solitario

    Het idee van een Enterprise Modus is leuk, maar gaat niet werken. Als zo’n modus geĂŻntroduceerd zou worden, dan moet die namelijk standaard aan staan. Anders kan een bedrijf dat honderden iOS devices beheert die eerst handmatig in Enterprise modus zetten. Dat zou effectief beheer van de apparaten teniet doen.