Skadevare utnytter designfeil til å infisere iOS-enheter

Har også blitt sluppet inn i App Store.

Harald BrombachHarald BrombachJournalist
17. mars 2016 - 14:11

Sikkerhetsselskapet Palo Alto Networks kom i går med en rapport om en ny familie med iOS-skadevare som angripere har greid å lure gjennom samtlige av Apples sikkerhetstiltak. Skadevarefamilien, som kalles for AceDeceiver, har siden i fjor sommer dukket opp flere ganger i App Store, men bare i enkelte land. Det hittil sist kjente tilfellet ble fjernet fra App Store den 25. februar.

Det hjelper selvfølgelig at AceDeceiver har blitt fjernet fra App Store, men det at skadevaren i det hele tatt har sluppet inn, åpner også for en annen angrepsvektor som til nå har blitt brukt for å spre piratkopierte apper til iOS-enheter, FairPlay MITM (Man-In-The-Middle).

Autoriseringskode

Når en iOS-bruker iTunes-klienten til å kjøpe og laste ned apper, vil iOS-enheten be om en autoriseringskode for her app for å bekrefte at appen faktisk har blitt kjøpt. Men med FairPlay MITM-metoden kan denne koden avskjæres og lagres.

Ved hjelp av pc-programvare som simulerer atferden til iTunes, kan iOS-enheten narres til å tro at appen som forsøkes installert faktisk stammer fra App Store og er kjøpt av iOS-brukeren.

Så lenge denne autoriseringskoden er tilgjengelig for en angriper, betyr det ingenting at appen har blitt fjernet fra App Store. I stedet kan den installeres på offerets iOS-enhet ved hjelp av pc-verktøy som i bakgrunnen etterligner iTunes-klienten, men som tilsynelatende har annen funksjonalitet.

Aisi Helper

En kinesisk Windows-trojaner, som oversatt til engelsk heter Aisi Helper, skal offisielt kunne tilby brukeren hjelp til slik som reinstallasjon, jailbreaking, sikkerhetskopiering og annet. Men i smug kan de installere iOS-skadevaren, uten at det kreves noen form for enterprise-sertifikat, jailbreaking eller bekreftelser fra brukeren.

De ondsinnede appene tilbyr brukeren tilgang til en tredjepart app-butikk som angriperen kontroller. Appen forsøker å oppmuntre brukeren til å oppgi sin Apple-ID og -passord for å få tilgang til mer funksjonalitet.

Ifølge Palo Alto Networks utnytter angriperne det som kan være en alvorlig sprekk i App Store-sikkerheten til Apple, nemlig at de bare tilbys i visse regioner, og at den skjulte funksjonaliteten bare berører enheter i Kina. I alt tre ulike AceDeceiver-apper har kommet seg gjennom kontrollen til Apple, i tillegg til fire runder med kodeoppdatering, som alle har forårsaket ny koderevidering av Apple.

Kjent i over tre år

FairPlay MITM-metoden har blitt brukt i alle fall siden januar 2013. Det faktum at metoden også kan brukes sammen med helt oppdaterte iOS-enheter, mer enn tre år etter, kan tyde på at feilen, som Palo Alto Networks beskriver som en designfeil, ikke er enkel å fjerne.

Så lenge Apple greier å luke ut AceDeceiver-appene fra App Store, kan appene bare spres via pc-trojanere. Det skjer hver eneste dag at pc-brukere lar seg lokke til å installere og kjøre trojanere.

Den nevnte Aisi Helper-programvaren har tydelig benyttet en annen framgangsmåte. Den opprinnelige utgaven ble utgitt i januar 2014 og skal fra starten av ikke ha hatt noen ondsinnet funksjonalitet. Allerede i desember 2014 skal programvaren ha blitt installert mer enn 15 millioner ganger, og 6,6 millioner skal ha vært månedlige brukere.

Den ondsinnede funksjonaliteten skal først ha blitt lagt i fjor, gjennom en oppdatering. Dermed har trolig Aisi Helper opparbeidet seg et godt omdømme hos brukerne og blitt tatt i bruk og anbefalt av mange, før den virkelige hensikten med programvaren har blitt rullet ut.

Flere detaljer om AceDeceiver finnes her.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra