Tenk deg at du mottar en lenke til en mobilapp på weben, laster den ned til smartmobilen og installerer den. Det hele går fint, bortsett fra at du ikke finner igjen appen etter installasjonen. Årsaken er at appen har erstattet en av appene du hadde installert fra før. Den har tilgang til dataene til den erstattede appen, men i tillegg til å tilby den vanlige funksjonaliteten, sender den for eksempel alle e-post- og tekstmeldingene dine opp til en server.
Dette er en litt forenklet beskrivelse av en type angrep mot iOS-enheter som ble oppdaget av sikkerhetsselskapet FireEye i sommer. Angrepene kalles for «Masque Attacks».
Ifølge FireEye er det «enterprise provision»-profilene i iOS som utnyttes i angrepet. Disse profilene gjøre det mulig for IT-avdelinger å utvikle og rulle ut applikasjoner uten å bruke Apples App Store. Det er ingenting som tyder på telefoner uten slike profiler er berørt, det vil si de aller fleste.
Designsvakhet
I tillegg til å bruke disse profilene for tilgang til enheten, tar angrepet i bruk den sammen «bundle»-identifikatoren som appene som erstattes. Denne identifikatoren er en unik streng som identifiserer en app på en enhet. Dersom en ondsinnet app overtar denne identifikatoren fra en original app installert fra App Store, vil ikke systemet merke at den originale appen har blitt erstattet. Årsaken er at det ikke kreves matchende sertifikater for applikasjoner med samme bundle-identifikator.
Angrepet skal kunne gjøres både via trådløse forbindelser og via USB. Det demonstreres i videoen nedenfor.
Appen beholder tilgangen til den originale appens data, inkludert eventuelle innloggingsbevis til eksterne kontoer.
Apper som er forhåndsinstallert på enheten kan ikke utnyttes på denne måten.
Varslet
Ifølge FireEye ble Apple varslet om denne sårbarheten den 26. juli. Det er ukjent hva selskapet har svart eller hvilke planer det har for å fjerne sårbarheten.
Det skal ikke ha blitt sett reelle angrep så langt, men det kan ifølge FireEye også bety at de rett og slett ikke er blitt oppdaget. Hensikten med å offentliggjøre informasjonen nå, er ifølge selskapet å gjøre det mulig for iOS-brukerne å beskytte seg. Men det er ingenting som tyder på at Apple har samtykket til den ideen.
Det er mulig å sjekke om det allerede har blitt installert ondsinnede apper ved hjelp av Masque Attacks ved å se etter «PROVISIONING PROFILES» i iOS-innstillingene, «Settings - > General -> Profiles».
FireEye opplyser at Masque Attacks kan utføres på i alle fall enheter med iOS 7.1.1 og nyere, inkludert 8.1.1 beta. Jailbreaking har ingen betydning for angrepet.
– Fordi ingen av de eksisterende beskyttelser og grensesnitt som tilbys av Apple kan hindre et slikt angrep, ber vi Apple om å tilby kraftigere grensesnitt til profesjonelle sikkerhetsleverandører for å beskytte bedriftsbrukere mot disse og andre, avanserte angrep, skriver FireEye.
Inntil det eventuelt måtte skje, rådes brukerne til ikke å installere apper fra andre steder enn Apples offisielle App Store eller brukerens organisasjon eller bedrift. Brukerne må ikke klikke på «Installer» eller «Install» i popup-vinduer fra tredjeparts websider, uavhengig av hva det lokkes med.
Når appen først er installert, vil brukeren kunne bli vist en advarselen som sier noe sånt som «Untrusted App Developer». Da må man velge «Don't Trust»-valget og sørge for å avinstallere appen umiddelbart etterpå.
Oppdatert: Har lagt til en presisering om hvem som trolig ikke er berørt.
Les også:
- [14.11.2014] – «Masque Attack» ikke så farlig
- [06.11.2014] iOS-enheter infiseres via Mac