De onlangs bekend geworden Wirelurker-malware maakt gebruik van een lek in iOS dat nog veel grotere veiligheidsrisico’s met zich meebrengt, aldus het Amerikaanse beveiligingsbedrijf FireEye, dat de kwetsbaarheid Masque Attack noemt.
Het zwakke punt, dat zowel in iOS 7 als 8 aanwezig zou zijn, maakt het mogelijk om vrijwel iedere app te vervangen door een identiek ogende versie waaraan malware is toegevoegd. Alleen de standaard geïnstalleerde apps van Apple zelf zouden vooralsnog buiten schot vallen.
De iOS-apparaten hoeven hiervoor zelfs niet eerst via usb met een Mac- of Windows-apparaat verbonden te worden, omdat de besmetting binnen iOS zelf kan plaatsvinden, bijvoorbeeld via een link in een e-mail, iMessage-bericht of sms.
FireEye laat in onderstaande video zien dat het zo mogelijk wordt om een valse Gmail-app te vermommen onder een andere naam, zoals ‘New Flappy Bird’, waarna deze app de echte Gmail voor iOS vervangt.
Controle
Wanneer gebruikers vervolgens de nepapp gebruiken, kunnen de makers van de meegeleverde malware alle opgevraagde of ingevoerde gegevens naar een eigen server sluizen. iOS-gebruikers ontvangen vooraf wel een waarschuwing, omdat Apple signaleert dat de app uit een vreemde bron afkomstig is, in plaats van uit de officiële App Store.
iOS vraagt daarom eerst om expliciete toestemming. In dat verzoek staat dan wel een gefabriceerde appnaam, wat het risico zou vergroten dat gebruikers de app alsnog installeren. Het vervangen van de app is volgens FireEye mogelijk omdat Apple niet controleert of apps met dezelfde zogeheten Bundle ID ook hetzelfde certificaat gebruiken. Een nepapp met een Bundle ID gelijk aan dat van een officiële applicatie, wordt daardoor als een nieuwe versie van die app beschouwd.
Reactie
Wirelurker zou op eenzelfde manier officiële apps met malware hebben vervangen, maar Masque Attack is volgens FireEye gevaarlijker, omdat de infectie van Wirelurker enkel via een laptop of desktop-pc mogelijk was.
Het bedrijf zegt Apple op 26 juli al op de hoogte te hebben gebracht van de kwetsbaarheid. Apple zelf heeft officieel nog niet gereageerd op het bestaan van Masque Attack. FireEye adviseert iOS 7- en 8-gebruikers om ondertussen geen apps van derde partijen te installeren.