En potentiel sårbarhed i Apples mobile styresystem iOS bevirker, at en bruger kan narres at overskrive en godkendt app, som eksempelvis Googles Gmail med ondsindet kode, der ligner den godartede app til forveksling. Sikkerhedsfirmaet Fireeye opdagede sårbarheden i juli 2014 og gjorde Apple opmærksom på den. Men ifølge Fireeye har Apple ikke reageret og sikkerhedsfirmaet offentliggør nu informationer om sårbarheden, da den bliver brugt i praksis. Eksempelvis som en del af Wirelurker-sårbarheden, som Version2 omtalte i sidste uge.
Sårbarheden har fået navnet ‘Masque Attack’ og skulle være blevet verificeret på iOS 7.1.1, 7.1.2, 8.0, 8.1 and 8.1.1 beta – både på jailbreakede og ikke-jailbreakede telefoner.
I et blogindlæg fortæller Fireeye, hvordan en bruger eksempelvis via en sms kan lokkes ind på en hjemmeside, der tilbyder at installere en app med et tilforladeligt navn som ‘Flappy Bird’ på en iPhone. Og selvom der ikke er tale om en jailbreaket iPhone, kan app’en alligevel installeres på telefonen uden om App Store.
App’en installerer ikke noget med ‘Flappy Bird’, men overskriver i stedet en eksisterende app på telefonen, eksempelvis Gmail fra Google. Pre-installerede apps fra Apple som Mobile Safari kan dog ikke overskrives på denne måde.
Nu giver den ondsindede app sig ud for at være Gmail og kan eksempelvis opsnappe brugernavn og adgangskode, som brugeren taster ind, ligesom den ondsindede app har adgang til de data, i dette tilfælde mail, som den nu tidligere Gmail-app har haft lagret.
Overskrivningen af en eksisterende app sker, hvis den ondsindede app anvender samme bundle-identifier, som en eksisterende app. I det eksempel, Fireeye har lavet, har de brugt en in-house app med titlen ‘New Flappy Bird’ og bundle-identifieren ‘com.google.Gmail’ til et eksempel, der overskriver Gmail-app’en. Det kan ses demonstreret i videoen herunder.
I blogindlægget hos Fireeye fremgår det, at angrebet kan lade sig gøre, fordi der ikke behøver være nogen sammenhæng mellem det certifikat, den ondsindede app anvender, og så det certifikat, som app’en, der bliver overskrevet, anvender.
Alvorlig sårbarhed
Solutions Architect og partner i app-udviklingsfirmaet iDeal-development Esben Bjerregaard har kigget lidt på sagen. Og han mener, at der er tale om en alvorlig sårbarhed, som Apple bør se at få lukket ned for hurtigst muligt.
Men Esben Bjerregaard bemærker også, at den ondsinde app i Fireyes exploit-eksempel må blive signeret af et certifikat fra Apple, for at den kan installeres på en ikke-jailbreaket telefon. Det kan eksempelvis være med et såkaldt enterprise-certifikat, som virksomheder kan bruge til at signere og installere apps med til internt brug i organisationen.
Apple kan tilbagekalde certifikater, der bliver misbrugt. Dermed kan den skadelige kode ikke køre mere, forklarer Esben Bjerregaard.
»Det er nemt at opdage for Apple og nemt at lukke ned, hvis der foregår misbrug med certifikater,« siger han.
Esben Bjerregaard peger desuden på, at en bruger ikke uden videre bliver inficeret med en ondsindet app via Masque Attack, da brugeren først skal lokkes ind på en ondsindet hjemmeside, godkende en app fra en ikke kendt udvikler og så skal angriberen kende til et bundle-id på telefonen, som skal overskrives.
Fireeye har en række råd til, hvad iPhone- og iPad-brugere bør være opmærksomme på, for ikke at blive ramt af ‘Masque Attack’.
-
Lad være med at installere apps fra 3. parts-kilder. Det vil sige fra andre end Apples officielle App Store eller fra brugerens egen organisation, eksempelvis en virksomhed.
-
Lad være med at klikke på ‘Install’ i pop-up vinduer på tredjeparts-hjemmesider.
-
Lad være med at åbne en app, hvis iOS viser en alarm med ‘Untrusted App Developer’.
