(Bilde: Palo Alto Networks)
Undersøkelsen fra Citrix viser blant annet at enheten til høyre, iPhone 6 Plus, genererer dobbelt så mye mobildatatrafikk som enheten til venstre, iPhone 6. Skjermstørrelsen skal være årsaken. (Bilde: action press/All Over Press)

AceDeceiver

Skadevare utnytter designfeil til å infisere iOS-enheter

Har også blitt sluppet inn i App Store.

Sikkerhetsselskapet Palo Alto Networks kom i går med en rapport om en ny familie med iOS-skadevare som angripere har greid å lure gjennom samtlige av Apples sikkerhetstiltak. Skadevarefamilien, som kalles for AceDeceiver, har siden i fjor sommer dukket opp flere ganger i App Store, men bare i enkelte land. Det hittil sist kjente tilfellet ble fjernet fra App Store den 25. februar.

Det hjelper selvfølgelig at AceDeceiver har blitt fjernet fra App Store, men det at skadevaren i det hele tatt har sluppet inn, åpner også for en annen angrepsvektor som til nå har blitt brukt for å spre piratkopierte apper til iOS-enheter, FairPlay MITM (Man-In-The-Middle).

Autoriseringskode

Når en iOS-bruker iTunes-klienten til å kjøpe og laste ned apper, vil iOS-enheten be om en autoriseringskode for her app for å bekrefte at appen faktisk har blitt kjøpt. Men med FairPlay MITM-metoden kan denne koden avskjæres og lagres.

Ved hjelp av pc-programvare som simulerer atferden til iTunes, kan iOS-enheten narres til å tro at appen som forsøkes installert faktisk stammer fra App Store og er kjøpt av iOS-brukeren.

Så lenge denne autoriseringskoden er tilgjengelig for en angriper, betyr det ingenting at appen har blitt fjernet fra App Store. I stedet kan den installeres på offerets iOS-enhet ved hjelp av pc-verktøy som i bakgrunnen etterligner iTunes-klienten, men som tilsynelatende har annen funksjonalitet.

Aisi Helper

En kinesisk Windows-trojaner, som oversatt til engelsk heter Aisi Helper, skal offisielt kunne tilby brukeren hjelp til slik som reinstallasjon, jailbreaking, sikkerhetskopiering og annet. Men i smug kan de installere iOS-skadevaren, uten at det kreves noen form for enterprise-sertifikat, jailbreaking eller bekreftelser fra brukeren.

De ondsinnede appene tilbyr brukeren tilgang til en tredjepart app-butikk som angriperen kontroller. Appen forsøker å oppmuntre brukeren til å oppgi sin Apple-ID og -passord for å få tilgang til mer funksjonalitet.

Ifølge Palo Alto Networks utnytter angriperne det som kan være en alvorlig sprekk i App Store-sikkerheten til Apple, nemlig at de bare tilbys i visse regioner, og at den skjulte funksjonaliteten bare berører enheter i Kina. I alt tre ulike AceDeceiver-apper har kommet seg gjennom kontrollen til Apple, i tillegg til fire runder med kodeoppdatering, som alle har forårsaket ny koderevidering av Apple.

Kjent i over tre år

FairPlay MITM-metoden har blitt brukt i alle fall siden januar 2013. Det faktum at metoden også kan brukes sammen med helt oppdaterte iOS-enheter, mer enn tre år etter, kan tyde på at feilen, som Palo Alto Networks beskriver som en designfeil, ikke er enkel å fjerne.

Så lenge Apple greier å luke ut AceDeceiver-appene fra App Store, kan appene bare spres via pc-trojanere. Det skjer hver eneste dag at pc-brukere lar seg lokke til å installere og kjøre trojanere.

Den nevnte Aisi Helper-programvaren har tydelig benyttet en annen framgangsmåte. Den opprinnelige utgaven ble utgitt i januar 2014 og skal fra starten av ikke ha hatt noen ondsinnet funksjonalitet. Allerede i desember 2014 skal programvaren ha blitt installert mer enn 15 millioner ganger, og 6,6 millioner skal ha vært månedlige brukere.

Den ondsinnede funksjonaliteten skal først ha blitt lagt i fjor, gjennom en oppdatering. Dermed har trolig Aisi Helper opparbeidet seg et godt omdømme hos brukerne og blitt tatt i bruk og anbefalt av mange, før den virkelige hensikten med programvaren har blitt rullet ut.

Flere detaljer om AceDeceiver finnes her.

Til toppen