Badacze bezpieczeństwa mobilnego z firmy FireEye odkryli lukę bezpieczeństwa w iOS, która umożliwia atakującemu zastąpienie prawdziwych aplikacji złośliwym oprogramowaniem. Luka została nazwana „Masque Attack” (zamaskowany atak) właśnie przez swoją zdolność do naśladowania i zastępowania istniejących, legalnych aplikacji.
Masque Atak polega na zwabieniu użytkownika do zainstalowania aplikacji spoza App Store, przez kliknięcie w link wiadomości tekstowej lub e-maila. Na przykład na filmie demonstracyjnym poniżej, wiadomość SMS z dołączonym linkiem została wysłana z wiadomością: „Hej, sprawdź nowe Flappy Bird”. Po kliknięciu, link kieruje do strony internetowej, która zachęca użytkownika do zainstalowania aplikacji. Aplikacja w filmie nie jest jednak „Flappy Bird”, ale złośliwą wersją Gmaila, która instaluje się bezpośrednio na oryginalną wersję Gmaila pobraną z App Store, dzięki czemu jest praktycznie niewykrywalna.
Masque Atak może zostać użyty do instalacji fałszywej wersji aplikacji zamieniając legalne wersje z App Store za pomocą profili korporacyjnych, które są używane do beta testów lub wykorzystywane przez firmy do dystrybucji aplikacji wśród pracowników, bez konieczności ich oficjalnego pobierania z App Store.
Jak wyjaśniono na blogu, dopóki zarówno istniejące aplikacje z App Store i złośliwe aplikacje oszustów używają tego samego identyfikatora Bundle (unikatowego identyfikatora), fałszywa wersja będzie w stanie zastąpić oryginalną aplikację w sposób, który jest bardzo trudny do wykrycia przez użytkownika. Ukryta złośliwa aplikacja jest w stanie przesyłać hakerom wiadomości e-mail, wiadomości SMS, rozmowy telefoniczne i inne.
Choć atak nie może zastąpić domyślnie wbudowanych w system aplikacji Apple takich jak Safari czy Mail, to jest w stanie wpływać na aplikacje, które zostały zainstalowane za pośrednictwem App Store, i ma potencjał być o wiele bardziej niebezpieczny niż inna ostatnio wykryta luka o nazwie WireLurker.
FireEye przetestowała możliwość przeprowadzenia ataku na systemach iOS 7.1.1, 7.1.2, 8.0, 8.1 i 8.1.1 beta. Firma powiadomiła Apple o luce w dniu 26 lipca.
Na ten moment użytkownicy iOS mogą chronić się przed atakiem nie instalując aplikacji z zewnętrznych źródeł innych niż oficjalny App Store, unikając klikania w wyskakujące okienka z napisem „zainstaluj” przesyłane w wiadomości SMS lub przekazywane przez inne strony internetowe, a oraz unikanie aplikacji, które wyświetlają alert „Untrusted App Developer”(nie zaufany deweloper aplikacji).
a jak mozna zeskanowac iphone w poszukiwaniu ewentualnych złośliwych aplikacji zainstalowanych juz na urzadzeniu?