FireEye découvre iOS Masque Attack, Apple minimise la menace

[ware_item id=33][/ware_item]

FireEye découvre iOS Masque Attack, Apple minimise la menace


Des experts en sécurité informatique avertissent les clients d'Apple d'un nouveau bogue qui affecte les appareils iOS tels que l'iPhone et l'iPad. Cet article fait suite à une publication de la semaine dernière sur la sécurité de vos appareils Apple.

L'équipe américaine de préparation aux urgences informatiques (US-CERT) a déclaré jeudi que les utilisateurs de ces appareils fonctionnant sur la dernière version d'iOS devraient faire attention à ce sur quoi ils cliquent. L'équipe a également conseillé aux utilisateurs de ne pas installer d'applications depuis un autre endroit que leur propre organisation ou l'App Store officiel d'Apple. Le CERT a également mis en garde contre l’ouverture d’une application si une alerte indique «Développeur d’applications non approuvé», indiquant que l’utilisateur devrait plutôt cliquer sur «Ne pas faire confiance» avant de le supprimer immédiatement..

L'exploit, surnommé «Masque Attack», aurait été découvert en juillet 2014 par FireEye et signalé à Apple le 26 du même mois (le chercheur en sécurité Stefan Esser de SektionEins a peut-être découvert le même exploit ou un exploit étroitement lié l'année dernière qu'il a présenté à la conférence SyScan 2013.

Dans un article de blog publié lundi, la société a déclaré qu'elle pensait que les nouvelles versions d'iOS étaient toujours vulnérables et pourraient être exploitées via une campagne d'attaque basée sur un masque qu'ils ont surnommée «WireLurker».

WireLurker est le premier malware capable de se propager d'un système Mac OS X infecté à un appareil iOS non jailbreaké et aurait déjà été téléchargé plus de 350 000 fois.

US-CERT a expliqué le fonctionnement de Masque Attack:

"Cette attaque consiste à inciter les utilisateurs à installer une application à partir d'une source autre que l'App Store iOS ou le système d'approvisionnement de leur organisation. Pour que l'attaque réussisse, un utilisateur doit installer une application non fiable, telle que celle fournie via un lien de phishing..

Cette technique tire parti d'une faille de sécurité qui permet à une application non fiable - avec le même «identifiant de bundle» que celui d'une application légitime - de remplacer l'application légitime sur un appareil affecté, tout en conservant toutes les données de l'utilisateur. Cette vulnérabilité existe car iOS n'applique pas les certificats correspondants pour les applications avec le même identifiant de bundle. Les propres applications de la plate-forme iOS d'Apple, telles que Mobile Safari, ne sont pas vulnérables. »

L'équipe d'urgence informatique a poursuivi en disant qu'une application installée de cette manière pouvait copier l'interface utilisateur de l'application d'origine, incitant ainsi l'utilisateur à entrer son nom d'utilisateur et son mot de passe. Il pourrait également voler des informations personnelles et autres informations sensibles dans les caches de données locales et effectuer une surveillance en arrière-plan de l'appareil. Enfin, il pouvait accrocher les privilèges root à n'importe quel appareil iOS sur lequel il était installé, tout cela car il était impossible de le distinguer d'une véritable application.

Avec FireEye disant qu'il a confirmé ce type d'attaque, y compris le téléchargement de données sur un serveur distant, on pourrait penser qu'Apple se serait déplacé pour corriger le bogue, surtout compte tenu du fait que la société de sécurité a eu peu de temps pour examiner d'autres potentiels liés attaques qui peuvent encore faire surface.

Ce n'est pas le cas, car Apple dit que personne n'a été affecté par la vulnérabilité jusqu'à présent, une affirmation qui va à l'encontre d'un blog de Kaspersky Lab qui suggère que WireLurker a fait des victimes, bien qu'un petit nombre.

Si vous souhaitez en savoir plus sur le fonctionnement de l'attaque iOS Masque, FireEye a téléchargé une vidéo de démonstration:

FireEye découvre iOS Masque Attack, Apple minimise la menace
admin Author
Sorry! The Author has not filled his profile.