Beruchte Android-spyware via achterdeurtje naar iPhone

Door: Raymon Mens - 5 reacties

iPhone-gebruikers zijn doorgaans goed beschermd tegen spyware en malware, terwijl dat op Android mider het geval is. Spyware op iOS is daarom ook zeldzaam. Desalniettemin heeft op Android beruchte spyware genaamd Exodus zijn weg naar de iPhone gevonden.

Dat hebben beveiligings­onderzoekers van Lookout ontdekt. De Exodus spyware is berucht omdat deze op Android contacten, audio-opnames, foto’s, video’s en andere apparaatinformatie buit kan maken. Op iOS is de impact beperkter en moet je ook behoorlijk bewust wat moeite doen om geĂŻnfecteerd te raken.

Android-spyware op iPhone

Er word gebruik gemaakt van een achterdeurtje om met de spyware geĂŻnfecteerde apps op de iPhone te installeren. Exodus blijkt in veel apps die buiten de App Store om worden verspreid te zitten. Officieel is het niet mogelijk om apps buiten de App Store om te installeren, maar er is een levendig ecosysteem dat zogenaamde enterprise certificaten misbruikt. Deze certificaten zijn officieel alleen voor de distributie van interne bedrijfsapps. Toch kunnen apps die met een dergelijk certificaat zijn ondertekend ook gewoon op internet geplaatst worden. Ze kunnen dan direct worden gedownload en geĂŻnstalleerd.

Eerder schreven we al dat veel casino- en porno-apps deze methode gebruiken. De Exodus-spyware zat volgens Lookout dan ook bij veel van dit soort apps gebundeld, maar er was ook een gerichte aanval op Italiaanse iPhone-gebruikers. Een app die via nagemaakte websites van telecomproviders te downloaden was, deed zich voor als helpdesk, maar bevatte ook de Exodus spyware en vroeg om veel permissies. Uit analyse van de beveiligings­onderzoekers bleek dat de apps werden gemaakt door een partij die eerder ook malware voor Android verspreidde.

spyware app android ios 001
Klik/tap voor groter.

Hoofdpijndossier voor Apple

Hoewel de kans klein is dat een doorsnee gebruiker op iOS met deze spyware in aanraking komt, is het wel een pijnpunt voor Apple. De enterprise certificaten zijn nodig om bedrijven hun interne apps efficiënt te laten verspreiden, maar worden ook regelmatig misbruikt. Het enige dat Apple bij misbruik kan doen is het certificaat intrekken, maar dat voorkomt het natuurlijk niet.

De certificaten worden overigens niet alleen door kleine makers van malware en spyware misbruikt. Eerder dit jaar werd Facebook ook betrapt op het buiten de App Store verspreiden van een ‘spionage-app’. Apple trok de certificaten van het sociale netwerk toen in, waardoor veel ontwikkelaars bij het bedrijf hun werk niet konden doen. (Zie ook → Facebook betaalde tieners voor installeren spionage-app)

Reacties

5 reacties
  • Profielfoto
    TheBigZ

    Een achterdeurtje dat je zelf als knurft open hebt gezet.

     

    Exodus blijkt in veel apps die buiten de App Store om worden verspreid te zitten.

     

    Officieel is het niet mogelijk om apps buiten de App Store om te installeren, maar er is een levendig ecosysteem dat zogenaamde enterprise certificaten misbruikt.

  • Profielfoto
    Night

    Niet persĂ© natuurlijk: Als jij denkt een legitieme, door Apple gesigneerde app denkt te downloaden en er blijkt spyware in te zitten… Minder fraai.

  • Profielfoto
    Frans

    Night op 9 april 2019 18:12
    Niet persé natuurlijk: Als jij denkt een legitieme, door Apple gesigneerde app denkt te downloaden en er blijkt spyware in te zitten… Minder fraai.

    Als jij denkt een legitime, door Apple goedgekeurde, app te kunnen downloaden buiten de App Store om, dan ben je een knurft.

  • Profielfoto
    DBIW

    Daar gaat het argument dat Apple zo veilig is….

  • Profielfoto
    csteelooper

    DBIW op 12 april 2019 07:42
    Daar gaat het argument dat Apple zo veilig is….

    Hoezo? A) je moet zélf werk doen om jezélf te infecteren. Welke imbeciel doet dat in vredesnaam?

    B) de misbruikte bedrijfscertificaten kunnen zo worden ingetrokken. Dit lost het probleem natuurlijk niet op, maar voor verspreiders van Malware kost het wel tijd als dit gebeurt.

    C) Als je een app via een bedrijfscertificaat installeert krijg je meerdere waarschuwingen. Als je de partij achter de app niet kent ligt de verantwoordelijkheid bij jou; niet bij Apple.

    D) Je leest hier dat de impact van de Malware op iOS beperkt is. Dus is Apple nog steeds veilig, want in principe kunnen ook apps die via bedrijfscertificaten worden geïnstalleerd alleen schade aanrichten (lees: gegevens buitmaken) binnen hun eigen sandbox. Pas als ze dáár buiten breken, is er echt een potentieel risico.