Slechte appels? Malware bijt Mac en iOS

Apple-apparaten zijn immuun voor malware. Dat is de heersende wijsheid, en vaak herhaald door degenen die iPhones, iPads of Mac-laptops bezitten als een manier om het restrictieve applicatiebeleid van de tech-gigant te compenseren. Deze Apple-liefhebbers hebben echter een punt, omdat de Gatekeeper voor Mac van het bedrijf en de “Trust” -machtigingen voor iOS apparaten toestaan ​​apps te identificeren die zijn ontwikkeld zonder een geldige Apple Developer ID, en de overgrote meerderheid (98 procent) van mobiele malware is gericht op Android- gebaseerde apparaten.

Maar dit betekent niet dat iPhones en Macbooks volkomen veilig zijn. Een nieuwe malwarefamilie richt zich nu specifiek op Apple-producten en kan mogelijk ernstige schade aanrichten. Hier is de bottom line.

Kijk uit voor Lurkers

Zoals opgemerkt in een recente Kaspersky-beveiligingsupdate, kan de nieuw ontdekte WireLurker-malware zowel iOS- als Mac OS-apparaten infecteren. De malware werd voor het eerst waargenomen in een Chinese applicatieopslag genaamd Maiyadi, zegt beveiligingsbedrijf Palo Alto Networks, en geïnfecteerde 467 OS X-apps. Volgens Claud Xiao van Palo Alto: “in de afgelopen zes maanden zijn deze 467 geïnfecteerde applicaties meer dan 356.104 keer gedownload en hebben mogelijk honderdduizenden gebruikers getroffen.”

Dus hoe werkt het? WireLurker begint met het maken van trojan-applicaties voor verkoop in app-winkels van derden. Wanneer gedownload door gejailbreakte iPhones of Macs met Gatekeeper uitgeschakeld, zoekt WireLurker naar specifieke apps, maakt kopieën, patcht ze met kwaadaardige code en kopieert vervolgens de geïnfecteerde app terug naar het apparaat. Als u een niet-gejailbreakte telefoon gebruikt, is het beste wat WireLurker kan doen, een legitieme Enterprise Developer ID te gebruiken om een ​​niet-schadelijke app te installeren. Palo Alto zegt dat dit een ‘testcase’ was. Klinkt eng? Het zou moeten, maar als je geen gejailbreakte telefoon gebruikt of apps uit winkels van derden downloadt en vervolgens de vertrouwensrechten van Apple overschrijft, ben je waarschijnlijk veilig.

Waarschijnlijk.

Jekyll and Hide

Het is natuurlijk vermeldenswaard dat onderzoekers van Georgia Tech in 2013 een manier hebben gevonden om kwaadaardige payloads op Apple-apparaten te krijgen met behulp van een reeks goedaardige code. Volgens eWeek kunnen deze “Jekyll-apps” gemakkelijk door het keuringsproces van Apple komen, maar later “kwaadaardig” worden en zich gedragen als malware. Het team ontdekte ook een manier om kwaadaardige apps te installeren met behulp van een echte ontwikkelaar-ID en een nep-USB-oplader; weliswaar moeilijker en lowtech, maar toch zorgelijk.

Het grootste probleem hier? Dat ondanks iOS- en Mac-beveiligingsmaatregelen, het nog steeds mogelijk is om code te ontwerpen die door scheuren glipt en vervolgens echte problemen veroorzaakt. Hoewel wijdverspreide aanvallen waarschijnlijk geen van beide methoden gebruiken, kunnen Jekyll-apps en vergelijkbare exploits een probleem vormen voor spraakmakende doelen zoals overheidsfunctionarissen of internetactivisten.

Leuke Masque

Naast morphing-apps en gevaren van derden is er nog een probleem: de Masque-aanval. Masque-aanvallen zijn geïdentificeerd door beveiligingsbedrijf FireEye en staan ​​voor “maskeren”. Dit zijn meer geavanceerde vormen van WireLurker die afhankelijk zijn van het enterprise- en ad-hoc-bevoorradingssysteem van Apple. Het gaat als volgt: Apple is goed met ontwikkelaars en ondernemingen die apps buiten de ecosystemen van de App Store distribueren met behulp van een zogenaamd ‘provisioning profile’. Met dit profiel kunnen gebruikers applicaties rechtstreeks van een link downloaden zonder enige app store-interface te gebruiken. Hoewel deze methode niet wijdverbreid is, is het een geweldige manier voor ondernemingen en startups om hun eigen applicaties in eigen huis te ontwikkelen of te testen.

Maar er is een maas in de wet. Het is mogelijk dat geïnfecteerde applicaties zich voordoen en legitieme apps op gebruikersapparaten overschrijven, zolang de “bundel-id’s” hetzelfde zijn. Apple heeft geen overeenkomende certificaten nodig voor vergelijkbare gebundelde apps, in plaats daarvan kunnen ze naar believen worden overschreven. Dit betekent dat een ijverige aanvaller mogelijk toegang kan krijgen tot een bedrijfsnetwerk en vervolgens ‘nieuwe’ versies van geïnstalleerde apps naar alle telefoons van werknemers kan pushen – met de juiste ontwikkelaar-ID kunnen gebruikers worden misleid om hun applicaties bij te werken en zichzelf bloot te stellen aan malware. Het slechtste geval? Een vermomde app die gegevens ophaalt die zijn opgeslagen in een legitieme app, een geïnfecteerde versie installeert en een gegevensstroom naar een onbekende server verzendt.

Vervaldatum?

WireLurker- en Masque-aanvallen hebben bij sommige Apple-gebruikers de angst veroorzaakt, maar deze vrucht is nog niet slecht – je risico is minimaal, tenzij je van jailbreaking-telefoons of surfen op Chinese app-winkels houdt. Toch is het een ontnuchterende herinnering dat makers van malware nooit rusten en dat zelfs de ommuurde tuin van Apple niet ondoordringbaar is. Doe jezelf een plezier: surf slim met een veilige VPN – het heeft geen zin om lurkers te laten weten in welke apps je bent – en vertrouw net als e-mailbijlagen geen apps die je niet kent. Appels van vreemden zijn nooit een gezonde keuze.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me