Waarom de ‘WireLurker’ malware geen acute bedreiging is

Door: Raymon Mens - 10 reacties

Vandaag zijn een boel bangmakende berichten over ‘het eerste echte iOS-virus dat zonder jailbreak werkt’ te lezen. Het heet WireLurker en probeert gebruikers een kwaadaardige Mac-app te laten installeren zodat het iOS-apparaten via USB kan infecteren.

Voor bijna niemand die dit leest is WireLurker een acute bedreiging. En mocht dat het wel zijn, dan is een infectie met de malware eenvoudig te voorkomen. Jailbreak of niet. OMT duikt dieper in de werking van WireLurker en de methode die de malware gebruikt om iOS-apparaten te infecteren.

Waar begon het?

Onderzoekers van Palo Alto Networks hebben de malware gevonden in een Chinese alternatieve App Store genaamd Maiyadi. Daar worden gekraakte apps aangeboden die de malware bevatten. Volgens het onderzoek zijn 467 OS X applicaties in de Chinese App Store voor gekraakte apps geïnfecteerd die samen honderduizenden keren gedownload zijn.

De Maiyadi App Store
De Maiyadi App Store is de besmettingshaard.

Technisch geavanceerde malware

Zodra de malware eenmaal op een Mac ge├»nstalleerd is, wacht deze tot een iOS-apparaat is aangesloten. Daarna maakt deze misbruik van de vertrouwen┬şsband die een Mac en iPhone met elkaar hebben. WireLurker zet vervolgens een enterprise provisioning-profiel op de aangesloten telefoon. Dat wordt normaal door bedrijven gebruikt om eigen apps buiten de App Store om te installeren, maar kan ook misbruikt worden door aanvallers.

provprof
De malware misbruikt een Provisiong Profile.

WireLurker is volgens het rapport van Palo Alto Networks een van de eerste malware-varianten die USB en enterprise provisioning misbruikt om een kwaadaardige applicatie op een iOS-apparaat te plaatsen. Daarbij worden iOS-apps ook nog eens automatisch ge├»nfecteerd door op de Mac een ‘echte’ app aan te passen en deze op het iOS-apparaat te zetten.

Jailbreak en ingebouwde iOS-beveiliging

Indien WireLurker eenmaal een aangesloten iOS-apparaat heeft gevonden, vraagt het het serienummer, telefoonnummer en UDID gebruikte Apple ID op. Dit is informatie die iTunes normaal ook kan weergeven en opvragen. Daarna kijkt het of het iOS-apparaat gejailbreakt is.

Op iOS-apparaten die geen jailbreak hebben, kan de malware vervolgens kwaadaardige apps, die volgens het enterprise certificaat zijn toegestaan, installeren. Bij het openen van deze apps vraagt iOS de gebruiken altijd te bevestigen of de app die van een onbekende ontwikkelaar komt, te vertrouwen is. Zelfs als de gebruiker dit toestaat, gebruikt iOS sandboxing die ervoor zorgt dat apps niet buiten hun eigen schil kunnen graaien.

8.1-jailbreak-640
Een jailbreak is nodig om echt schade aan te richten.

Door een apparaat te jailbreaken, wordt een grote hoeveelheid van de standaard in iOS aanwezige beveiliging uitgeschakeld. De malware kan dan w├ęl zijn gang gaan en maakt volgens het onderzoek van Palo Alto Networks onder andere het adresboek, iMessage-gesprekken en meer buit. Bovendien kan WireLurker dan blijvende aanpassingen aan systeembestanden doen. De malware is volgens het onderzoek actief in ontwikkeling, dus meer narigheid is in dat geval niet uit te sluiten.

Kans op infectie klein

Hoewel de malware in China een probleem kan zijn, is de kans op infectie voor westerse gebruikers klein. Om geïnfecteerd te raken moet je namelijk:

  • Gekraakte software uit een Chinese App Store of andere illegale bron downloaden.
  • De beveiliging in OS X die het uitvoeren van ongesigneerde apps voorkomt uitschakelen.
  • Je iPhone via USB met de ge├»nfecteerde Mac verbinden.
  • Een vreemde app openen en een waarschuwing van iOS negeren.

Al doe je dit allemaal, dan zorgt de Sandboxing van iOS er alsnog voor dat WireLurker niet veel kan. Alleen op iOS-apparaten met een jailbreak kan de malware makkelijker zijn gang gaan. Dat maakt WireLurker niet zoveel anders dan andere iOS-malware, op de technisch geavanceerde manier van het misbruiken van een Mac na dan.

Reacties

10 reacties
  • Profielfoto
    GrannySmith

    Heel langzamerhand gaat de Apple community hopelijk beseffen dat zij ook net als elk ander OS kwetsbaar zijn.

    En laat dit alles een les zijn voor diegenen die jailbreaken. Koop je zo’n redelijk goed beveiligd closed device als een iOS device, jailbreak je hem omdat je wat extra functionaliteit wenst.

    Bill Gates in 1995: “Functionality always wins over security”.

    Jobs draait zich nog een keertje om.

  • Profielfoto
    LabombaNL

    @GrannySmith Het is toch altijd al duidelijk geweest dat mac kwetsbaar is. Maar het is gewoon een feit dat het alsnog vele malen veiliger is dan Windows.

  • Profielfoto
    essiw

    @granny, koop je een dure tablet, kan je er bepaalde dingen niet mee omdat apple vind dat alles gesloten moet blijven en zelf bepaald wat ze legaal en niet legaal vinden. Logish dat mensen gaan jailbreaken.

  • Profielfoto
    GrannySmith

    @LabombaNL; jou is dat wellicht duidelijk maar veel, heel veel forum berichten ook op OneMorething lijken een soort gevoel van onkwetsbaar zijn te propageren.

    En of het echt veiliger is dan Windows? Ik weet het echt niet. Dat kun je niet afmeten aan het aantal geslaagde hacks. Je zou de source code moeten door worstelen… en dan eerlijk vergelijken. Doet geen mens.

    TrueCrypt was/is ook veilig. Totdat het opeens niet meer veilig was. Zoiets kan elk OS ook gebeuren. En die verhaal over WireLurker toont aan hoe gevaarlijk jailbreaken is lijkt me. Maar dat wisten we al. En zolang er mensen zijn zoals @essiw die gaan goedpraten dat een gesloten systeem “natuurlijk” open gemaakt moet worden omdat je extra functionaliteit wenst. Tja; de mens blijft de domste schakel. Koop dan een Android tablet. Erg open. Erg kwetsbaar.

  • Profielfoto
    essiw

    @granny, dus je zegt hier indirect dat ik dom ben? Pfft:p en ik moet maar een android kopen? Kortzichtig, alleen maar omdat het niet aansluit bij wat jij vind. Natuurlijk moet je niet jailbreaken als je niet weet wat je doet, betekend niet dat iedereen maar gelimiteerd moet worden. Ik denk dat we onze kinderen ook maar niet uit ons huis laten gaan, is gevaarlijk op straat.

  • Profielfoto
    GrannySmith

    @granny, dus je zegt hier indirect dat ik dom ben?

    Als jij dat er in wilt lezen, prima. Maar dat staat er niet.

    Je zegt overigens: “Natuurlijk moet je niet jailbreaken als je niet weet wat je doet,…” en dat is wel een beetje mijn punt. Omdat je – dat neem ik aan – net zoals ik, de gevaren niet kent omdat je niet persoonlijk de source code van iOS hebt doorgeworsteld, kun je nimmer nooit weten wat je doet als je jailbreakt. Je vertrouwt de makers van die jailbreak, je vertrouwt op jezelf dat je weet wat je doet.

    Vraagje; doe je electronisch bankieren met een iOS app op een gejailbreakte iPhone? Dan kan ik zeggen dat dat dom, heel erg dom is. Heb onlangs gezien wat er dan kan gebeuren bij Nederlands’ grootste forensische experts. En dat is niet fris. Dan ben je aan de goden overgeleverd, net als electronisch bankieren op een niet beveiligde Windows PC. En weten jailbreakers dat? Ik betwijfel het. Jij misschien wel, de rest niet.

  • Profielfoto
    MoNdO GeNeRaToR

    @granny, koop je een dure tablet, kan je er bepaalde dingen niet mee omdat apple vind dat alles gesloten moet blijven en zelf bepaald wat ze legaal en niet legaal vinden. Logish dat mensen gaan jailbreaken.

    Het punt van de boel gesloten te houden is nu net om ervoor te zorgen dat het veiliger is. Als je dat niet snapt als gebruiker, dan krijg je hoe dan ook ooit problemen met jailbreaken.

  • Profielfoto
    mekkeremek

    Supergoeie uitleg, Raymon! Dank!
    Het zit gelukkig wel weer snor met de security van Apple devices… Je moet wel een ontzettende lutser wezen om een virus op te doen.

    In 2011 huurde Apple prof. Neill Rice (van Geekonomics)… sindsdien raakt de boel steeds beter dichtgetimmerd.

  • Profielfoto
    madcat

    De malware was trouwens op wel 18 Mac’s gevonden over de hele wereld waarvan 11 in China, dus het had wel een flinke impact!;)

  • Profielfoto
    ikbenlike

    @Granny, android is niet kwetsbaarder dan iOS, als je tenminste geen illegale apps download (wat strafbaar is, dus sowieso al dom), in ios zitten meer lekken dan in android, maar op ios is het lastiger om geinfecteerd te raken door het gesloten ecosysteem, dus zo veel maakt het niet uit dat er meer lekken in zitten