Gebarsten: AceDeceiver installeert malware op fabrieks-iPhones

Een nieuwe iPhone-malware kan in de fabriek geconfigureerde iPhones infecteren zonder dat de gebruiker dit beseft, door gebruik te maken van fundamentele tekortkomingen in het FairPlay DRM-systeem van Apple. Dit verandert dingen.

Een nieuwe iPhone-malware kan in de fabriek geconfigureerde iPhones infecteren zonder dat de gebruiker dit beseft, door gebruik te maken van fundamentele tekortkomingen in het FairPlay DRM-systeem van Apple.  Dit verandert dingen.
Advertentie

iOS wordt algemeen beschouwd als een van de veiligere mobiele besturingssystemen. Het is van de grond af ontworpen om veilig te zijn en heeft daarom veel van de beveiligingsbedreigingen die Android geplaagd hebben, vermeden.

De paar bedreigingen die er zijn voor het platform Smartphone-beveiliging: kunnen iPhones malware downloaden? Beveiliging van smartphones: kunnen iPhones malware krijgen? Malware die "duizenden" iPhones beïnvloedt, kan de App Store-inloggegevens stelen, maar de meerderheid van iOS-gebruikers is volkomen veilig - dus wat is de deal met iOS en malafide software? Meer lezen hebben de neiging gecentreerd te zijn rond jailbreak-apparaten 4 Dwingende beveiligingsredenen Niet om je iPhone of iPad te jailbreaken 4 Dwingende beveiligingsredenen Niet om te jailbreaken Je iPhone of iPad Jailbreaking kan de vele beperkingen van Apple wegnemen, maar voordat je je apparaat jailbreakt, is het een goed idee om de voordelen en mogelijke nadelen af ​​te wegen. Meer lezen of degenen die anders in gevaar zijn gebracht of gestolen ondernemingscertificaten gebruiken.

Maar AceDeceiver is anders. Het werd eerder deze week door Palo Alto Networks ontdekt en kan door de fabriek geconfigureerde iPhones infecteren zonder dat de gebruiker dit beseft, door fundamentele fouten in het FairPlay DRM-systeem van Apple te exploiteren.

Van piraterij naar malware

De manier waarop AceDeceiver wordt gedistribueerd, is gebaseerd op iets dat "FairPlay Man-in-the-Middle" wordt genoemd. Dit is een veelgebruikte tactiek die sinds 2013 wordt gebruikt voor het installeren van illegale toepassingen op niet-gejailbreakte iPhones en iPads.

Wanneer een persoon een iPhone-applicatie van een computer koopt, kan de applicatie onmiddellijk naar die telefoon worden verzonden. Maar tussen de aankoop die wordt gedaan en de toepassing die wordt afgeleverd, vindt er een hele reeks communicatie plaats tussen de apparaten en de servers van Apple.

In het bijzonder zal Apple een autorisatiecode naar het iOS-apparaat verzenden, wat in hoofdzaak bevestigt aan het clientapparaat dat de toepassing legitiem is gekocht. Als iemand een van deze machtigingscodes vastlegt en kan nabootsen hoe Apple-servers communiceren met iOS-apparaten, kunnen ze toepassingen naar dat apparaat verzenden.

AceDeceiverWorkflow

Deze toepassingen kunnen applicaties zijn die door Apple niet zijn toegestaan ​​om in de App Store te verschijnen 8 Belachelijke en inconsistente Apple App Store-richtlijnen [Opinion] 8 Belachelijke en inconsistente Apple App Store-richtlijnen [Opinion] Hier is een radicale mening - je zou in staat moeten zijn om alle gewenste apps uit te voeren op de apparaten waarvan u de eigenaar bent. Apple is het er niet mee eens, en het is verwrongen tot pretzels die willekeurige regels creëren voor welke app ... Lees meer, of zouden illegale toepassingen kunnen zijn.

In dit geval zijn de applicaties die door deze roman worden gedistribueerd op de "Fairplay Man-In-The-Middle" malware-toepassingen.

Maak kennis met Aisi Helper

Voor deze aanval, de FairPlay Man-in-The-Middle Wat is een Man-in-the-Middle-aanval? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Meer lezen De aanval wordt uitgevoerd door de Aisi Helper, een Windows-softwareapplicatie waarvan wordt verondersteld dat deze is ontwikkeld in Shenzhen, China.

Op het eerste gezicht beweert het dat het een legitiem iDevice- beheersproduct van derden is. Het heeft veel van de attributen van legitieme programma's. Hiermee kunnen gebruikers jailbreak- en back-upapparaten op het lokale netwerk gebruiken en iOS opnieuw installeren als dat nodig is. Het is in wezen iTunes, zij het zonder de muziekspeler, en richtte zich volledig op de Chinese markt.

aisihelper

Volgens ITJuzi, dat profielen startups op de Chinese markt, werd het voor het eerst uitgebracht in 2014. Destijds bevatte het geen kwaadaardig gedrag. Sindsdien is het uitgebreid aangepast om de bovengenoemde strategie te gebruiken, om malware te verspreiden naar alle verbonden apparaten.

Wanneer Aisi Helper een aangesloten apparaat detecteert, begint het automatisch, en zonder de toestemming van de gebruiker, het AppDeciever Trojan te installeren. De enige hint dat dit gebeurt, is dat een mysterieuze en ongewenste toepassing in de lijst met apps van de gebruiker is verschenen.

The AceDeceiver Malware

Op het moment van schrijven waren er drie van deze Trojaanse paarden. Elk van hen is tot nu toe in eerste instantie vermomd als wallpaper-apps. Elk van deze is beschikbaar gesteld in de App Store, na het doorvoeren van de notoir strenge broncodecontroles van Apple, waar deze wordt beoordeeld bij indiening en bij elke volgende update. Dit had in theorie moeten voorkomen dat ze in de App Store zouden verschijnen.

AceDeceiverWallpaper

Palo Alto Networks is van mening dat de ontwikkelaars deze controles konden omzeilen door ze buiten China in te dienen en ze aanvankelijk beschikbaar te stellen voor slechts een handvol markten, zoals het Verenigd Koninkrijk en Nieuw-Zeeland.

Deze specifieke variant van de AceDeciever-malware blijft inactief, tenzij het apparaat een IP-adres heeft in de Volksrepubliek China. Het is daarom duidelijk en voor het bezorgmedium dat het gericht is op Chinese gebruikers. Hoewel het ook van invloed kan zijn op iedereen die een Chinese VPN gebruikt of iemand die binnen China reist.

Wanneer de malware detecteert dat het apparaat in China is, transformeert het van slechts een toepassing om te downloaden en wallpwapers te veranderen in een programma dat zich voordoet als verschillende Apple-services, zoals de App Store en Game Center.

AceDeceiver

Het doel hiervan is, voorspelbaar, om de inloggegevens van Apple te oogsten. Hierdoor kan de aanvaller applicaties en e-books kopen die ze in de App Store hebben geplaatst en op zijn beurt een gezonde winst maken. AppDeciever kan deze gegevens echter niet alleen 'openen', omdat ze veilig in een gecodeerde container worden opgeslagen.

Dus, het maakt gebruik van social engineering tactieken. Wat is sociale technologie? [MakeUseOf Explains] Wat is social engineering? [MakeUseOf Explains] U kunt de sterkste en duurste firewall van de industrie installeren. U kunt werknemers informeren over basisbeveiligingsprocedures en het belang van het kiezen van sterke wachtwoorden. U kunt zelfs de serverruimte vergrendelen, maar hoe ... Lees meer in plaats daarvan. AceDeceiver geeft pop-ups weer die er uitzien alsof ze van Apple zijn gekomen, en vraagt ​​de gebruiker zijn inloggegevens te bevestigen. Wanneer de gebruiker hieraan voldoet, worden deze via het netwerk naar een externe server verzonden.

Deze applicaties zijn inmiddels uit de winkel verwijderd. Desondanks kunnen ze nog steeds worden geïnstalleerd door een aanvaller, door gebruik te maken van de FairPlay Man-In-The-Middle-aanval.

Moet je je zorgen maken?

Laten we dus doorgaan met de achtervolging. Heeft u reden om u hier zorgen over te maken? Wel, ja en nee.

Op dit moment is de belangrijkste manifestatie hiervan gecentreerd rond China. Het is gericht op Chinese iPhones, het is een slapende buiten China, en het maakt gebruik van social engineering tactieken die zorgvuldig zijn ontworpen om succesvol te zijn tegen Chinese gebruikers.

Maar desondanks is er reden tot bezorgdheid. Het is immers gebaseerd op een tactiek die sinds 2013 wordt gebruikt om illegale software te installeren. Drie jaar later moet dit gat nog gesloten worden en het is nog steeds uiteindelijk te exploiteren .

Het feit dat het al drie keer succesvol in de App Store is gepubliceerd, roept ook serieuze vragen op over het vermogen van Apple om het virusvrij te houden.

App Winkel

Bovendien zou het, zoals Palo Alto Labs opmerkt, triviaal zijn om deze malware te herwerken om gebruikers in de VS of Europa te targeten.

Op dit moment is er niet veel dat kan worden gedaan om het te bestrijden. Palo Alto Networks adviseert iedereen die Aisi Helper heeft geïnstalleerd onmiddellijk de installatie ongedaan te maken. Ze zeggen ook dat slachtoffers de authenticatie met twee factoren moeten activeren en hun wachtwoorden moeten wijzigen.

Ze hebben ook twee IPS-handtekeningen (Intrusion Prevention System) uitgegeven voor bedrijven die hun firewall-apparaten gebruiken om de aanval te blokkeren. Helaas zijn deze niet beschikbaar voor consumenten.

Terug naar jou

Was u getroffen door de AceDeceiver Malware? Ken iemand wie was? Vertel het me in de reacties hieronder.

In this article