iOS est largement considéré comme l'un des systèmes d'exploitation mobiles les plus sécurisés. Il a été conçu dès le départ pour être sécurisé, et par conséquent a évité la plupart des menaces de sécurité qui ont tourmenté Android.
Les quelques menaces qui pèsent sur la plateforme Smartphone Security: les iPhones peuvent-ils être infectés par des logiciels malveillants? Smartphone Security: les iPhones peuvent-ils être infectés par des logiciels malveillants? Les logiciels malveillants affectant «des milliers» d'iPhones peuvent voler les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement en sécurité - alors, quel est le problème avec iOS et les logiciels malveillants? Lire la suite Tendance à être centré autour des dispositifs jailbreakés 4 raisons de sécurité pour ne pas jailbreaker votre iPhone ou iPad 4 raisons de sécurité pour ne pas jailbreaker votre iPhone ou iPad Jailbreaking peut se débarrasser des nombreuses restrictions d'Apple, mais avant de jailbreaker votre appareil c'est une bonne idée pour peser les avantages et les inconvénients potentiels. Lire la suite ou ceux qui ont été compromis, ou exploiter des certificats d'entreprise volés.
Mais AceDeceiver est différent. Il a été découvert par Palo Alto Networks plus tôt cette semaine, et est capable d'infecter des iPhones configurés en usine sans que l'utilisateur s'en rende compte, en exploitant les failles fondamentales du système FairPlay DRM d'Apple.
Du piratage au malware
La façon dont AceDeceiver est distribué est basé sur quelque chose qui s'appelle «FairPlay Man-In-the-Middle», une tactique couramment utilisée depuis 2013 pour installer des applications piratées sur des iPhones et des iPads non jailbreakés.
Lorsqu'un particulier achète une application iPhone à partir d'un ordinateur, l'application peut être envoyée immédiatement à ce téléphone. Mais entre l'achat effectué et l'application livrée, il y a toute une série de communications entre les appareils et les serveurs d'Apple.
En particulier, Apple va envoyer un code d'autorisation à l'appareil iOS, qui affirme essentiellement à l'appareil client que l'application a été légitimement achetée. Si quelqu'un capture l'un de ces codes d'autorisation, et qu'il est capable d'imiter la façon dont les serveurs d'Apple interagissent avec les appareils iOS, ils pourront envoyer des applications à cet appareil.
Ces applications peuvent être des applications qui n'ont pas été autorisées par Apple à apparaître sur l'App Store. 8 Lignes directrices ridicules et incohérentes Apple App Store [Avis] 8 Directives Apple Store ridicule et incohérent [Avis] Voici une opinion radicale - vous devriez pouvoir pour exécuter les applications que vous aimez sur les appareils que vous possédez. Apple n'est pas d'accord, et il est lui-même tordu en bretzels créant des règles arbitraires pour ce que l'application ... Lire la suite, ou pourrait être des applications piratées.
Dans ce cas, les applications distribuées par ce nouveau spin sur le "Fairplay Man-In-The-Middle" sont des applications malveillantes.
Rencontrez Aisi Helper
Pour cette attaque, le Man-In-The-Middle FairPlay Qu'est-ce qu'un homme-dans-le-Middle Attack? Le jargon de sécurité a expliqué ce qu'est un homme dans le milieu? Explication du jargon de la sécurité Si vous avez entendu parler d'attaques «d'homme à l'autre», mais que vous ne savez pas très bien ce que cela signifie, c'est l'article pour vous. Read More attaque est effectuée par l'Aisi Helper, qui est une application logicielle Windows, qui aurait été développée à Shenzhen, en Chine.
À première vue, il prétend être un produit de gestion iDevice tiers légitime. Il a une grande partie des pièges des programmes légitimes. Il permet aux utilisateurs de jailbreaker et de sauvegarder des périphériques sur le réseau local, et de réinstaller iOS si nécessaire. C'est essentiellement iTunes, mais sans le lecteur de musique, et visant carrément sur le marché chinois.
Selon ITJuzi, qui décrit les startups sur le marché chinois, il a été publié en 2014. À l'époque, il ne contenait aucun comportement malveillant. Depuis lors, il a été largement modifié pour utiliser la stratégie susmentionnée, afin de distribuer des logiciels malveillants à tous les appareils connectés.
Lorsque Aisi Helper détecte un périphérique connecté, il va automatiquement, et sans le consentement de l'utilisateur, commencer à installer le cheval de Troie AppDeciever. Le seul indice que cela se produit, c'est qu'une application mystérieuse et indésirable est apparue dans la liste des applications de l'utilisateur.
Le logiciel malveillant AceDeceiver
Au moment de l'écriture, il y avait trois de ces chevaux de Troie. Chacun d'eux a, jusqu'à présent, masqué initialement comme applications de fond d'écran. Chacun d'entre eux a été rendu disponible sur l'App Store, après avoir passé les contrôles de code source notoirement strictes d'Apple, où il est examiné lors de la soumission, et à chaque mise à jour ultérieure. Ceci, en théorie, aurait dû les empêcher d'apparaître dans l'App Store.
Palo Alto Networks estime que les développeurs ont pu contourner ces contrôles en les soumettant à l'extérieur de la Chine, et en les rendant disponibles initialement pour une poignée de marchés, comme le Royaume-Uni et la Nouvelle-Zélande.
Cette variante spécifique du logiciel malveillant AceDeciever reste inactive à moins que l'appareil ne possède une adresse IP en République populaire de Chine. Il est clair à cause de cela, et du support de livraison, qu'il est destiné aux utilisateurs chinois. Bien que cela pourrait également avoir un impact sur quiconque utilise un VPN chinois, ou quelqu'un qui voyage en Chine.
Lorsque le malware détecte que l'appareil est en Chine, il ne sera plus qu'une simple application pour télécharger et modifier des wallpwapers, mais aussi un service qui se fera passer pour plusieurs services Apple, comme l'App Store et le Game Center.
Le but de ceci est, de manière prévisible, de récolter les informations d'identification Apple. Cela permettrait alors à l'attaquant d'acheter des applications et des livres électroniques qu'ils ont placés sur l'App Store, et à son tour faire un profit sain. Cependant, AppDeciever ne peut pas simplement «accéder» à ces informations d'identification, car elles sont stockées de manière sécurisée dans un conteneur chiffré.
Donc, il utilise des tactiques d'ingénierie sociale Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Qu'est-ce que l'ingénierie sociale? [MakeUseOf Explains] Vous pouvez installer le pare-feu le plus puissant et le plus cher de l'industrie. Vous pouvez éduquer les employés sur les procédures de sécurité de base et l'importance de choisir des mots de passe forts. Vous pouvez même verrouiller la salle des serveurs - mais comment ... Lire la suite à la place. AceDeceiver affichera des fenêtres pop-up qui semblent provenir d'Apple, demandant à l'utilisateur de confirmer ses informations d'identification. Lorsque l'utilisateur se conforme, ils sont envoyés sur le réseau à un serveur distant.
Ces applications ont depuis été retirées du magasin. Malgré cela, ils peuvent toujours être installés par un attaquant, en exploitant l'attaque FairPlay Man-In-The-Middle.
Devriez-vous être inquiet?
Alors, coupons à la chasse. Avez-vous des raisons d'être préoccupé par cela? Eh bien, oui et non.
À l'heure actuelle, la principale manifestation de ceci est centrée autour de la Chine. Il cible les iPhones chinois, il est dormant en dehors de la Chine, et il utilise des tactiques d'ingénierie sociale soigneusement conçues pour réussir contre les utilisateurs chinois.
Mais malgré cela, il y a des raisons de s'inquiéter. Après tout, c'est basé sur une tactique utilisée depuis 2013 pour installer des logiciels piratés. Trois ans plus tard, ce trou doit encore être fermé, et il est toujours exploitable .
Le fait qu'il a été publié avec succès sur l'App Store à trois reprises soulève également de sérieuses questions sur la capacité d'Apple à garder les logiciels malveillants.
En outre, comme l'a souligné Palo Alto Labs, il serait trivial de retravailler ce malware pour cibler les utilisateurs aux États-Unis ou en Europe.
À l'heure actuelle, il n'y a pas grand-chose à faire pour le combattre. Palo Alto Networks recommande à tous ceux qui ont installé Aisi Helper de le désinstaller immédiatement. Ils disent aussi que les victimes devraient activer l'authentification à deux facteurs, ainsi que changer leurs mots de passe.
Ils ont également publié deux signatures IPS (Intrusion Prevention System) pour les entreprises qui utilisent leurs pare-feu, afin de bloquer l'attaque. Malheureusement, ceux-ci ne sont pas disponibles pour les consommateurs.
À vous
Avez-vous été affecté par le Malware AceDeceiver? Connaissez quelqu'un qui était? Parlez-moi de cela dans les commentaires ci-dessous.