Nieuwe ‘Masque’ iOS-malware past oude truc opnieuw toe

23 reacties

Er gaat geen week voorbij zonder dat een vorm van iOS-malware in het nieuws is. Onderzoekers van FireEye hebben een methode uit de doeken gedaan die het mogelijk maakt authentieke applicaties te vervangen door malware.

Net als bij de WireLurker malware die vorige week in het nieuws was, is het door middel van Masque mogelijk om buiten de App Store om een malafide applicatie te installeren. Ook dit keer worden enterprise-certificaten misbruikt.

De kwaadaardige app wordt door middel van de browser geïnstalleerd. De onderzoekers sturen het slachtoffer naar een bepaalde site die vraagt of de gebruiker een nieuwe versie van Flappy Bird wil installeren. In werkelijkheid wordt bijvoorbeeld de Gmail-app overschreven met een kwaadaardige app.

De mogelijkheid om bestaande apps te overschrijven ontstaat omdat Apple niet checkt of apps met hetzelfde Bundle ID ook hetzelfde certificaat ge­bruiken. Zo kan een kwaadaardige app zich voordoen als Gmail. Apps die standaard in iOS aanwezig zijn, kunnen overigens niet overschreven worden.

Oude, maar geen eenvoudig uitvoerbare truc
Eenmaal aanwezig kan een kwaadaardige app nog steeds alleen binnen zijn eigen sandbox opereren. Bij een mail-app ontstaat zo de mogelijkheid om berichten die op de telefoon opgeslagen zijn uit te lezen. Ook kunnen notificaties afgevangen worden. Toch is het geen truc die makkelijk op grote schaal toegepast kan worden. Het volgende is nodig:

  • Een iOS Developer Enterprise certificaat of de universal device identifier (UDID) van het apparaat dat aangevallen wordt hebben
  • Een kwaadaardige app maken die op een populaire app lijkt
  • Gebruikers zo ver krijgen om een app buiten de App Store om te downloaden
  • Gebruikers de waarschuwing dat de app uit onbekende bron komt laten negeren

De truc werkt zowel op iOS 7 als iOS 8 en vereist geen jailbreak, maar nog steeds het negeren van waarschuwingen. Enterprise certificaten worden steeds vaker misbruikt om kwaadaardige apps te installeren. Hoewel deze het voor bedrijven makkelijk maken om eigen apps uit te rollen, doen ze voor eindgebruikers meestal meer kwaad dan goed. Apple kan certificaten die misbruikt worden intrekken om malware onschadelijk te maken.

Reacties

23 reacties
  • Profielfoto
    Buzz

    Vergeet niet erbij te vertellen dat eindgebruikers normaal gesproken nooit met apps die via certificaten geïnstalleerd worden in aanraking komen, en dat die certificaten ook nog eens worden ingetrokken zodra bekend wordt dat ze voor kwaadaardige doeleinden worden gebruikt, waarna deze apps nooit meer geïnstalleerd kunnen worden.

  • Profielfoto
    NielsDam

    Toch altijd mooi om te zien dat de media dit soort sensatie verhalen over hacks de wereld in brengt en vervolgens allerlei andere media (zoals OMT) de boel klakkeloos overneemt zonder alle feiten te bestuderen. Gelukkig zijn er nog sites die de boel altijd weer weten te relativeren.

    Kort samengevat:
    – download je alles via de reguliere, legale kanalen, dan loop je geen risico
    – denk je logisch na, dan ga je dit soort aanvalslinks uberhaupt niet openen en al helemaal niet vreemde profielen installeren.

  • Profielfoto
    essiw

    ^de apps kunnen wel geinstalleerd worden, alleen niet geopend

  • Profielfoto
    ro_me

    Toch altijd mooi om te zien dat de media dit soort sensatie verhalen over hacks de wereld in brengt en vervolgens allerlei andere media (zoals OMT) de boel klakkeloos overneemt zonder alle feiten te bestuderen. Gelukkig zijn er nog sites die de boel altijd weer weten te relativeren.

    Kort samengevat:
    – download je alles via de reguliere, legale kanalen, dan loop je geen risico
    – denk je logisch na, dan ga je dit soort aanvalslinks uberhaupt niet openen en al helemaal niet vreemde profielen installeren.

    Stierenpoep! Er staat precies wat het is! Een manier om malware op een iOS malware te installeren. De feiten staan er, het relativeren is niet nodig.

  • Profielfoto
    Buzz

    De door NielsDam nog eens samengevatte relativerende feiten staan ook in dit artikel. Lees maar onderaan.

  • Profielfoto
    Imade

    Precies hetzelfde vertelde ik op nujij en ene of andere Samsung fanboy probeerde dit tegen te spreken:P
    Juist om dit soort redenen probeer ik zo lang mogelijk bij Apple te blijven :-))

  • Profielfoto
    rikkie123

    en als je nou wel een app hebt geinstalleerd op die manier? kan je dan de app eraf gooien en opnieuw uit de appstore downloaden en is dan alles weg?

  • Profielfoto
    NielsDam

    Stierenpoep! Er staat precies wat het is! Een manier om malware op een iOS malware te installeren. De feiten staan er, het relativ

    Ja, er een manier om malware op iOS device te installeren. Echter, dit is geen reden voor de paniek en sensatie die nu in de media wordt opgeroepen. iOS blijft veilig tot het moment dat je er als gebruiker dingen mee gaat doen waar het niet voor ontworpen is. En doe je het toch, ja dan is het toch echt je eigen verantwoordelijkheid. Net als met internet bankieren, etc. moet je als gebruiker gewoon opletten en verder geen illegale troep op je device zetten, dat is vragen om problemen.

    Daarnaast is het niet zo simpel als: ik druk op een link en ik ben geïnfecteerd. Je moet altijd nog een tweede stap uitvoeren, namelijk een installatie profiel accepteren (dan moeten er toch wel alarmbellen gaan rinkelen, updates krijg je met legale software alleen in de App Store).

    Tot slot, zelfs als je zo naïef bent om het profiel te installeren, kun je dankzij iOS altijd zien wat er geïnstalleerd wordt, je scherm verspringt namelijk automatisch naar het scherm waar de app geïnstalleerd wordt (dit is ook zichtbaar in het filmpje). Dan moet het toch wel heel erg scheef lopen dat jij niet ziet dat Gmail wordt geïnstalleerd ipv Flappy Bird.

  • Profielfoto
    NielsDam

    en als je nou wel een app hebt geinstalleerd op die manier? kan je dan de app eraf gooien en opnieuw uit de appstore downloaden en is dan alles weg?

    Je moet dan de App verwijderen maar ook het enterprise certificaat

  • Profielfoto
    Imade

    Wat ook opvalt is dat je met je gmail app die je NET installeert direct 13 mails zou hebben… dat kan niet als je niets instelt.
    Ook de manier waarop laat duidelijk zien dat het niet veilig is.

  • Profielfoto
    zepkleiker

    Precies datgene wat je moet doen om op Android geen malware op te lopen is ook wat je moet doen om op iOS geen malware op te lopen.

    Gewoon goed nadenken voorkomt 99.9% van álle problemen, of je nu iOS, Android of Windows Phone of wat dan ook gebruikt.

  • Profielfoto
    Tuur Tisseghem

    Begin me een beetje af te vragen wie hier de redacteur is van dit artikel.:twisted:

  • Profielfoto
    GrannySmith

    iOS blijft veilig tot het moment dat je er als gebruiker dingen mee gaat doen waar het niet voor ontworpen is. En doe je het toch, ja dan is het toch echt je eigen verantwoordelijkheid. Net als met internet bankieren, etc. moet je als gebruiker gewoon opletten en verder geen illegale troep op je device zetten, dat is vragen om problemen.

    Wat dat laatste betreft; fijn dat iemand me gelijk geeft hoe gevaarlijk jailbreaken kan zijn. Want dan doe je dus precies wat je zegt; software installeren uit totaal onbetrouwbare bron; van een chinese site…

    En voor de rest van je verhaal en van anderen op deze site; waarom toch altijd dat relativeren alsof Apple heilig is en de gebruiker dom. Dit is gewoon een hele ernstige security fout die Apple moet oplossen.

    En het is vrijwel zeker dat dit soort aanvalsvectoren niet gebruikt zullen worden om de consument lastig te vallen. Maar ze tonen aan dat iOS lek is op dit soort punten. En bij een targeted attack worden ze dus wel gebruikt. In zakelijke en overheidsomgevingen. Daar hebben mensen wel een eigen app portal wellicht.

    Ik zie veel social engineering attacks volledig slagen bij mijn klanten. Dan kun je blijven volhouden dat de gebruiker dom is. Maar een goede attack slaagt altijd, 100%. En dan altijd omdat er zwakheden in het device of het OS zitten. De gebruiker is slechts een hulpmiddel. Is het device of het OS veilig kan de gebruiker nog zo dom zijn; de attacker komt niet binnen. Maar als de deur op een kier staat dan komen ze binnen. Dus is het cruciaal, alles bepalend dat devices op iOS alles doen om veilig te zijn.

    En IBM gaat ze pushen in de zakelijke markt? Forget it! Een aantal van mijn klanten heeft om reden van de vermeende veiligheid en het totaal falen van iOS 8 kwaliteitzorg en patch beleid alweer afscheid genomen van iOS devices.

  • Profielfoto
    ro_me

    Stierenpoep! Er staat precies wat het is! Een manier om malware op een iOS malware te installeren. De feiten staan er, het relativ

    Ja, er…….. ipv Flappy Bird.

    Welke paniek? Er is geen Paniek. Iemand beschrijft dat er een mogelijkheid is om malware te installeren op een iOS apparaat! vervolgens legt degene netjes uit hoe en wat! Dat is geen paniek! dat is gewoon de feiten opnoemen. Dat het niet zo simpel is als een klik wordt duidelijk omschreven.

    Waar zie jij dan sensatie en paniek? Ik lees het namelijk niet terug in bovenstaand artikel!

  • Profielfoto
    GrannySmith

    Het is een beetje usance om bij elk bericht over malware in verband met Apple direct te spreken over “sensatie en paniek”. We hebben daar een gezegde over; don’t shoot the messenger.

    De fout ligt hier 100% bij Apple. Niet bij de media, niet bij de gebruiker die al dan niet dom is.

    Dat wegwuiven is Apple gebruikers eigen. Ik ken genoeg gebruikers van elk soort ICT device van elk soort merk en met welk OS. En daarvan zijn er twee die altijd fouten van hun geloofsheren wegwuiven; Apple en Linux gebruikers. Het zij zo. Maar het blijft onbegrijpelijk.

    En ik denk zo’n beetje dat Apple dit weet. Men blijft de shit die ze verkopen toch wel kopen. Mensen staan er letterlijk voor in de rij. Of het apparaat nu honderden euro’s duurder is dan een beter product van de concurrent. En of het nou de altijd aanwezige kinderziekten bevat… welke release van iOS 8 krijgen we deze week ook al weer?

    Ik heb een iPad, een iPad mini, een MacBook Pro en een TimeCapsule. Prachtige producten. Net als mijn HTC One telefoon en wat dat betreft mijn ATAG kookplaat bij wijze van spreken. Maar problemen, en dan zeker security problemen, bagatalliseren? Nooit!

    Het bestuderen van Apple adepten als sociaal psycholoog (hobby) levert altijd wel interessant materiaal, dat dan weer wel.

  • Profielfoto
    Arjan110

    En voor de rest van je verhaal en van anderen op deze site; waarom toch altijd dat relativeren alsof Apple heilig is en de gebruiker dom. Dit is gewoon een hele ernstige security fout die Apple moet oplossen.

    Dat wegwuiven is Apple gebruikers eigen. Ik ken genoeg gebruikers van elk soort ICT device van elk soort merk en met welk OS. En daarvan zijn er twee die altijd fouten van hun geloofsheren wegwuiven; Apple en Linux gebruikers. Het zij zo. Maar het blijft onbegrijpelijk.

    Ik kom altijd met veel plezier op de OMT-site. En ook op het forum, waar je altijd prima een probleem kan droppen en waarna je meedenkende OMT’ers aan je zijde krijgt.

    Alleen het altijd bagataliseren van security issues als het om Apple gaat heb ik nooit begrepen. Ik ben vanuit mijn werk ook veel bezig met security en daarmee leer je dat zo goed als alles te kraken valt, dus ook Apple producten.

    Dus daarom blij met de quotes van GrannySmith.

  • Profielfoto
    jf

    Het wordt vooral door mensen opgeklopt die niks liever willen dan apple op zijn plaat zien gaan. Wat dat betreft is het erg vermakelijk om dit soort berichten op bijvoorbeeld nujij te volgen. Sociaal-psychologisch kul, maar wel vermakelijk.

    Het maakt duidelijk dat het blijkbaar interessant wordt voor onwelwillenden om ook het Apple domein te veroveren.

    Bah, apple wordt mainstream…:shock:

  • Profielfoto
    Buzz

    Ik ben vanuit mijn werk ook veel bezig met security en daarmee leer je dat zo goed als alles te kraken valt, dus ook Apple producten.

    Dus daarom blij met de quotes van GrannySmith.

    GrannySmith is weer eens beetje als hobby-sociaal-psycholoog aan het porren door net te doen of er een gigantische bug in de beveiliging is ontdekt die door Apple snel gedicht moet worden. Dat is gewoonweg niet zo. Dit is een beveiligingsissue die pas enigszins opmerkenswaardig zou zijn geweest als het systeem van certificaten en sandboxing niet zou hebben bestaan of niet waterdicht zou zijn geweest (zoals op sommige andere OSen). En bij die andere OSen zou het ook niet heel uitzonderlijk geweest zijn, omdat er van dit soort beveiligingsissues veel meer voorkomen.

    Via certificaten, etc. valt vanuit de technologie bedrijven een hoop aan dit soort misleiding te doen, maar de eerste paar gevallen kan je er nooit mee voorkomen. Daarvoor is en blijft voorlichting aan gebruikers nodig, zodat deze waakzaam met software omgaan. Het lijkt er op dat GrannySmith deze verantwoordelijkheid liever helemaal afschuift op de fabrikant. Daarmee zal hij altijd bedrogen uitkomen, want er bestaat geen bedrijf die de phishers ten alle tijden een stap voor kan blijven.

    En Arjan: Als jij er vanuit je werk zoveel ervaring mee hebt en een beetje begrijpend kan lezen dan zou je ook moeten weten dat er hier helemaal niks gekraakt is. De malware in kwestie is alleen te installeren via een op phishing lijkende misleiding om op een voor de doorsnee gebruiker zeer ongebruikelijke manier software te installeren, en dan alleen nog als veiligheidswaarschuwingen vanuit het OS hierover worden genegeerd. Vervolgens kan de malware niks uitrichten buiten haar sandbox. Kortom, je moet als gebruiker echt flink je best doen om op de hierboven beschreven manier een beperkte hoeveelheid privé-informatie in vreemde handen te krijgen.

    Niemand zegt hier dat Apple heilig is. Dat is woorden in de mond leggen (een zogenaamd stropopredenering, zoek maar eens op). Er zijn wel degelijk beveilgingsissues geweest in het (recente) verleden waarbij Apple in actie heeft moeten komen, of zelfs verwijtbaar heeft gehandeld. Niemand die dat hier aan het ontkennen is.

    Maar het is gewoonweg wel een feit dat de beveiliging voor dit soort malware op iOS tot nu toe afdoende is gebleken. Dit nieuws doet hier niks aan af. Uit alle genoemde haken en ogen blijkt juist maar weer dat de beveiliging van iOS in elk geval vele malen beter in elkaar steekt dan bijvoorbeeld van OS X (om besturingssystemen van andere fabrikanten maar even buiten beschouwing te laten).

  • Profielfoto
    MacAanZee

    @Nielsdam: Iedereen die jailbreakt, zet juist allerlei apps van buiten de App Store op zijn iPhone en andere producten. Mijn jongste zoon doet dat ook .Gratis apps uit Chinese app store. Ook Nederlandse apps. Daar kan dus allerlei troep in zitten.
    Hij had ook een Chinese App store waarvan hij op iPhones zónder jailbreak gratis (gehackte) apps kon zetten. Ik hou me maar gewoon aan alles binnen de App Store, dat lijkt me veiliger.

    @GrannySmith: voor je telefoon ben je blijkbaar op een andere appel overgestapt dan de Macintosh:lol: – maar dat moet je zelf weten. Maar het op één lijn zetten van Apple producten en producten van andere merken, wat veiligheid in software betreft, is pure onzin. Appelgebruikers wuiven niet zomaar problemen weg, maar doen dat uit ervaring omdat ze weten dat het vrijwel altijd veilig is. Ik werk nu 23 jaar op Mac computers, meestal zonder virusscanner. Nooit enige last van virussen gehad. Dat zegt wel iets. Zoiets moet je op een Windows computer niet proberen. Apple gebruikers schrikken al als er heel in de verte iets is, waar nauwelijks iemand last van kan hebben.

    Maar zonder twijfel is OSX en iOS het veiligste platform.

  • Profielfoto
    Buzz

    Goed gezegd, MacAanZee.

    Bovendien vind ik het onzin om het bagatelliseren te noemen wat hier gebeurt. Beveiliging moet natuurlijk niet gebagatelliseerd worden. Daar is iedereen het over eens. Maar dat betekent ook dat als je iemand van bagatelliseren beschuldigd, je de hele discussie meteen dood verklaart.

    Maar aan Arjan en GrannySmith: Het is toch zot als je geen onderscheid meer mag maken tussen grote, kleine en minuscule veiligheidsproblemen, omdat je dan gelijk beschuldigd wordt van bagatelliseren en alles van Apple als heilig zien?

    Als jullie dit daadwerkelijk als een groot veiligheidsprobleem zien, kom dan maar met echte argumenten, of geef aan hoe en waarom Apple hier iets aan moet doen, dan kan er tenminste discussie gevoerd worden.

  • Profielfoto
    GrannySmith

    Als jullie dit daadwerkelijk als een groot veiligheidsprobleem zien, kom dan maar met echte argumenten, of geef aan hoe en waarom Apple hier iets aan moet doen, dan kan er tenminste discussie gevoerd worden.

    Nee, die is leuk. Ik moet met argumenten komen dat dit een serieus probleem is? Heb je wel het oorspronkelijke bericht gelezen?

    Don’t shoot the messenger.

  • Profielfoto
    GrannySmith

    Maar zonder twijfel is OSX en iOS het veiligste platform.

    Nergens beweer ik het tegendeel. Ik beweer alleen uit eigen waarneming hier en bij klanten dat de vermeende of echte (kwaliteit is moeilijk te definieeren) suprematie van Apple (generaliserend) wellicht leidt tot een vals gevoel van veiligheid.

    Elke software bevat veel bugs. Ook operating systems. Ook iOS en OSX. Misschien zijn het er minder, misschien zijn ze niet ontdekt. Maar elk security probleem is een issue dat je op moet lossen. En in de security wereld staat Apple wat dat laatste betreft niet goed bekend. (Deze bug is volgens de ontdekker al in juli aan Apple gemeld; vele iOS updates sinds die tijd maar geen oplossing. Juist daarom is de bug nu publiek gemaakt want hij is dus “in the wild”.)

  • Profielfoto
    Buzz

    Ten eerste: Apple danst niet naar de pijpen van de security wereld en heeft daardoor geen goede reputatie in die wereld. Maar ze doet ondertussen een hoop meer achter de schermen dan de concurrentie, wat o.a. blijkt uit de door MacAanZee aangehaalde staat van dienst op dit gebied. Juist dat het werk voornamelijk achter de schermen gebeurt zorgt voor een groot deel voor die slechte reputatie in de security wereld.

    Ten tweede: Van een bug is hier helemaal geen sprake. Hooguit een klein puntje waarop het ontwerp nog iets verder verbetert kan worden. Dat heeft helemaal geen haast. Het gehaast aanpassen van dit soort functionaliteit brengt juist het risico op bugs me zich mee. Het beter checken van bundle IDs en certificaten door iOS zal er wellicht wel komen in een update in de toekomst, en dat zal een goede zaak zijn, maar het zal voor de veiligheid alleen een bijdrage ver in de marge zijn.

    De enige juiste oplossing ter voorkoming van het beschreven probleem en vergelijkbare problemen is dat:
    1) Je als eindgebruiker alleen Apple’s eigen App Store gebruikt en van illegale software wegblijft, en
    2) Het installeren van apps via certificaten door IT beheerders en anderen met verstand van zaken gebeurt.

    Dit gebeurt al sinds jaar en dag zo op iOS voor, zeg, 99.9% van de gebruikers. Het overige deel haalt zich eventuele problemen (die overigens voor zover mij bekend niet gerapporteerd zijn in dit geval) zelf op de hals. Die eventuele problemen zijn bovendien voor die gebruikers nog beperkt door de sandboxing regels.

    Wie zich hier al lichtelijk over opwindt moet toch wel een complete hartverzakking krijgen als die zich realiseert hoe lek als een mandje Mac OS X in vergelijking al vele jaren is voor het installeren van malware via phishing-achtige praktijken. Wil je ook beweren dat dit dan door bugs komt in Mac OS X die zo snel mogelijk gefixt moeten worden? Of zou het ook kunnen dat je je druk maakt om bijna niks?