Publicité

iOS est largement considéré comme l'un des systèmes d'exploitation mobiles les plus sécurisés. Il a été conçu dès le départ pour être sécurisé, et a donc évité de nombreuses menaces de sécurité qui affligent Android.

Le peu menaces qui existent pour la plateforme Sécurité des smartphones: les iPhones peuvent-ils être malveillants?Les logiciels malveillants affectant des "milliers" d'iPhones peuvent voler les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement en sécurité - alors quel est le problème avec iOS et les logiciels malveillants? Lire la suite ont tendance à être centrés autour d'appareils jailbreakés 4 raisons de sécurité convaincantes de ne pas jailbreaker votre iPhone ou iPadLe jailbreak peut éliminer les nombreuses restrictions d'Apple, mais avant de jailbreaker votre appareil, c'est une bonne idée de peser les avantages et les inconvénients potentiels. Lire la suite ou ceux qui ont été autrement compromis ou exploitent des certificats d'entreprise volés.

instagram viewer

Mais AceDeceiver est différent. Il a été découvert par Palo Alto Networks plus tôt cette semaine, et est capable d'infecter les iPhones configurés en usine sans que l'utilisateur ne s'en rende compte, en exploitant les failles fondamentales du système FairPlay DRM d'Apple.

Du piratage au malware

La façon dont AceDeceiver est distribué est basée sur quelque chose appelé «FairPlay Man-In-the-Middle», qui est un tactique commune utilisée depuis 2013 pour installer des applications piratées sur des iPhones non jailbreakés et iPads.

Lorsqu'une personne achète une application iPhone à partir d'un ordinateur, l'application peut être envoyée immédiatement à ce téléphone. Mais entre l'achat effectué et l'application livrée, il y a tout un tas de communications entre les appareils et les serveurs d'Apple.

En particulier, Apple enverra un code d'autorisation à l'appareil iOS, qui affirme essentiellement à l'appareil client que l'application a été légitimement achetée. Si quelqu'un capture l'un de ces codes d'autorisation et est capable d'imiter la façon dont les serveurs d'Apple interagissent avec les appareils iOS, il pourra envoyer des applications à cet appareil.

AceDeceiverWorkflow

Ces applications peuvent être des applications Apple n'a pas été autorisé à apparaître sur l'App Store 8 directives ridicules et incohérentes de l'App Store d'Apple [Opinion]Voici une opinion radicale - vous devriez pouvoir exécuter toutes les applications que vous aimez sur les appareils que vous possédez. Apple n'est pas d'accord, et il s'est transformé en bretzels créant des règles arbitraires pour quelle application ... Lire la suite , ou pourraient être des applications piratées.

Dans ce cas, les applications distribuées par cette nouvelle rotation sur le «Fairplay Man-In-The-Middle» sont des applications malveillantes.

Rencontrez Aisi Helper

Pour cette attaque, le FairPlay L'homme au milieu Qu'est-ce qu'une attaque d'homme au milieu? Explication du jargon de sécuritéSi vous avez entendu parler d'attaques de type "homme du milieu" mais n'êtes pas sûr de ce que cela signifie, cet article est pour vous. Lire la suite l'attaque est effectuée par l'Aisi Helper, qui est une application logicielle Windows, qui aurait été développée à Shenzhen, en Chine.

À première vue, il prétend être un tiers légitime iDevice produit de gestion. Il a la plupart des signes extérieurs de programmes légitimes. Il permet aux utilisateurs de jailbreaker et de sauvegarder des appareils sur le réseau local et de réinstaller iOS s'ils en ont besoin. Il s'agit essentiellement d'iTunes, bien que sans lecteur de musique, et vise carrément le marché chinois.

aisihelper

Selon ITJuzi, qui dresse le profil des startups sur le marché chinois, il a été publié pour la première fois en 2014. À l'époque, il ne contenait aucun comportement malveillant. Depuis lors, il a été largement modifié pour utiliser la stratégie susmentionnée, afin de distribuer des logiciels malveillants sur tous les appareils connectés.

Lorsque Aisi Helper détecte un appareil connecté, il démarre automatiquement et sans le consentement de l'utilisateur, l'installation du cheval de Troie AppDeciever. Le seul indice que cela se produit, c'est qu'une application mystérieuse et indésirable sera apparue dans la liste des applications de l'utilisateur.

Le logiciel malveillant AceDeceiver

Au moment d'écrire ces lignes, il y avait trois de ces chevaux de Troie. Jusqu'à présent, chacun d'entre eux s'est d'abord fait passer pour une application de fond d'écran. Chacun d'eux a été mis à disposition sur l'App Store, après avoir passé les vérifications du code source notoirement strictes d'Apple, où il est examiné lors de la soumission et à chaque mise à jour ultérieure. Cela, en théorie, aurait dû les empêcher d'apparaître dans l'App Store.

AceDeceiverWallpaper

Palo Alto Networks pense que les développeurs ont pu contourner ces chèques en les soumettant en dehors de La Chine, et initialement les mettre à la disposition de seulement une poignée de marchés, comme le Royaume-Uni et New Zélande.

Cette variante spécifique du logiciel malveillant AceDeciever reste inactive, sauf si l'appareil a une adresse IP en République populaire de Chine. Il est clair à cause de cela, et du support de livraison, qu'il est destiné aux utilisateurs chinois. Bien que cela puisse également affecter toute personne utilisant un VPN chinois ou toute personne voyageant en Chine.

Lorsque le malware détecte que l'appareil se trouve en Chine, il passe d'une simple application à télécharger et changer des wallpwapers, en un qui se fait passer pour plusieurs services Apple, comme l'App Store, et Centre de jeu.

AceDeceiver

L'objectif est, de façon prévisible, de récolter les informations d'identification Apple. Cela permettrait alors à l'attaquant d'acheter des applications et des livres électroniques qu'ils ont placés sur l'App Store, et à son tour réaliser un bénéfice sain. Cependant, AppDeciever ne peut pas simplement "accéder" à ces informations d'identification, car elles sont stockées en toute sécurité dans un conteneur chiffré.

Donc, il utilise tactiques d'ingénierie sociale Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique]Vous pouvez installer le pare-feu le plus solide et le plus cher du secteur. Vous pouvez informer les employés des procédures de sécurité de base et de l'importance de choisir des mots de passe forts. Vous pouvez même verrouiller la salle des serveurs - mais comment ... Lire la suite au lieu. AceDeceiver affichera des fenêtres contextuelles qui semblent provenir d'Apple, demandant à l'utilisateur de confirmer ses informations d'identification. Lorsque l'utilisateur se conforme, ceux-ci sont envoyés sur le réseau à un serveur distant.

Ces applications ont depuis été supprimées du magasin. Malgré cela, ils peuvent toujours être installés par un attaquant, en exploitant l'attaque FairPlay Man-In-The-Middle.

Devriez-vous vous inquiéter?

Alors, allons droit au but. Avez-vous des raisons de vous en inquiéter? Eh bien, oui et non.

À l'heure actuelle, la principale manifestation de cette situation est centrée sur la Chine. Il cible les iPhones chinois, il est en sommeil en dehors de la Chine, et il utilise des tactiques d'ingénierie sociale soigneusement conçues pour réussir contre les utilisateurs chinois.

Mais malgré cela, il y a lieu de s'inquiéter. Après tout, cela repose sur une tactique utilisée depuis 2013 pour installer des logiciels piratés. Trois ans plus tard, ce trou doit encore être fermé, et c'est toujours exploitable.

Le fait qu'il ait été publié avec succès sur l'App Store à trois reprises soulève également de sérieuses questions sur la capacité d'Apple à le garder sans logiciel malveillant.

Magasin d'applications

En outre, comme l'a souligné Palo Alto Labs, il serait trivial de retravailler ce malware pour cibler les utilisateurs aux États-Unis ou en Europe.

Pour le moment, il n'y a pas grand-chose à faire pour le combattre. Palo Alto Networks recommande à toute personne ayant installé Aisi Helper de le désinstaller immédiatement. Ils disent également que les victimes devraient activer l'authentification à deux facteurs, ainsi que changer leurs mots de passe.

Ils ont également publié deux signatures IPS (Intrusion Prevention System) pour les entreprises qui utilisent leurs appliances de pare-feu, afin de bloquer l'attaque. Malheureusement, ceux-ci ne sont pas disponibles pour les consommateurs.

À vous

Avez-vous été affecté par le logiciel malveillant AceDeceiver? Vous connaissez quelqu'un qui l'était? Parlez-moi de cela dans les commentaires ci-dessous.

Matthew Hughes est un développeur de logiciels et écrivain de Liverpool, en Angleterre. Il est rarement trouvé sans une tasse de café noir fort dans sa main et adore absolument son Macbook Pro et son appareil photo. Vous pouvez lire son blog sur http://www.matthewhughes.co.uk et suivez-le sur twitter à @matthewhughes.