Beveiligingsonderzoekers zetten Jekyll iOS-malware in App Store
Beveiligingsonderzoekers van Georgia Tech hebben een methode gevonden om kwaadaardige iOS-apps in de App Store te krijgen. Het team maakte een Jekyll-app, die er onschuldig uitziet maar zichzelf kan muteren. Daardoor kunnen potentieel gevaarlijke bewerkingen worden uitgevoerd. De Jekyll-apps lijken op eerder werk van beveiligingsonderzoeker Charlie Miller, waarbij niet-gesigneerde code op een iOS-apparaat kon worden uitgevoerd. Dit maakte gebruik van een beveiligingslek in iOS, die Apple sindsdien heeft gedicht. Bij de nieuwe Jekyll-apps is zo’n lek niet nodig. De code van de apps bevatten met opzet allerlei bugs die er onschuldig uitzien. Apple bestudeert de code en ziet niets vreemds, maar zodra de Jekyll-app geïnstalleerd is komen de makers in actie.
De beveiligingsonderzoekers kunnen vervolgens met kwetsbaarheden in de app allerlei kwaadaardige acties uitvoeren. Om aan te tonen dat het werkt, maakte het team van Tielei Wang (Chinees, maar werkzaam in de VS) een proof-of-concept app, die ze bij Apple inleverden. De app kwam zonder problemen door het goedkeuringsproces van Apple. Vervolgens downloadden de onderzoekers de app en lieten het ongewenste acties uitvoeren, zoals het verzenden van e-mail en sms-berichten en het maken van foto’s, zonder dat de gebruiker er controle over had.
De app is inmiddels niet meer verkrijgbaar in de App Store, maar ze hebben wel bewezen dat dergelijke malware mogelijk is. De kans dat soortgelijke apps goedgekeurd worden is levensgroot aanwezig. We hebben kortgeleden al eerder van Georgia Tech gehoord: toen ging het om nepladers voor de iPhone, waarmee ook malware geïnstalleerd kon worden. Wang maakte ook deel uit van het onderzoeksteam dat de neplader ontwikkelde. In iOS 7 zal Apple dit probleem opgelost hebben. Het beveiligingsrisico met de lader is eigenlijk niet zo groot, omdat de meeste mensen hun iPhone alleen met eigen adapters opladen. Snelle wereldwijde verspreiding van de hack is vrij moeilijk. Bij het nu aangetoonde risico met Jekyll-apps is de kans veel groter, omdat mensen onwetend een malware-app installeren. De onderzoekers hebben hun kennis gedeeld met Apple, maar die heeft nog niet laten weten wat ze ermee gaan doen.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
En zo hoort een beveiligingsonderzoek dus WEL…
Een groot “nadeel” van deze mallware is dat ze dan wel een app moeten maken die zeer populair wordt. Dat is nog niet zo eenvoudig en als je het kan is het goede manier om geld te verdienen, waarom dan niet voor die weg kiezen?
Verder mag ik hopen dat ze gemakkelijk te traceren zijn door Apple via hun naw en bank gegevens.
De vraag is of Apple er wel wat mee doet, vroeger stond Apple bekend om hun traagheid en vaak het negeren van waarschuwingen, maar de laatste 2 jaar is het een stuk beter, de lader hack is al gefixt in iOS7, dus hopelijk is Apple met deze Jekyll malware ook snel met een oplossing.
Waarschijnlijk wordt deze hack ook pas in iOS7 gefixt, omdat het een laag risico betreft (de app is al teruggetrokken). Dat dezelfde hack ook door kwaadwillenden gebruikt kan worden, is voor Apple geen reden om het eerder te fixen, tenzij een groot deel van de iOS gebruikers er ineens door getroffen wordt, waardoor de reputatie op het spel komt te staan.
Bovendien zal het in iOS7.0 waarschijnlijk halfbakken gefixt worden, waarna binnen een paar weken iOS7.0.1, 7.0.2, 7.0.3 en 7.1 uit zullen komen.
@Merijn: Hoe moeilijk is het om een zeer populaire app te maken, als je toch al van plan bent om er malware mee te verspreiden en daardoor aangeeft dat je het met regels en wetten niet zo nauw neemt? Je steelt het spelprincipe van een zeer populaire app of van een Nintendo game, maakt er een halfbakken game van en zorgt dat het bij een paar belangrijke sites onder de aandacht komt.
Nope.
Wat je zegt komt nog steeds neer op dat een malafide ontwikkelaar een onderscheidende app moet maken (er zijn immers legio van dergelijke apps te downloaden die er ook nog eens erg mooi uitzien). ‘Even’ aanbieden aan een paar sites ter review/promotie zal ook niet meevallen, daar vooraanstaande sites 1 op 1 klonen in het algemeen niet promoten/waarderen. En dan hebben we nog geenseens rekening gehouden met de capaciteit die het kost om ern fraaie in het oogspringende app te designen en implementeren (denk aan bijv. grafics). Als je dat al kunt jatten is je kloon wel heer erg obvious.
De controle van Apple zal op code niveau worden aangescherpt en op meerdere onderdelen gaan controleren. iOS7 zal ook wellicht hiervoor wat aanpassingen krijgen, dus Apple zal hier eerst onderzoek naar moeten doen voordat ze hierop gaan reageren. Dit onderzoek kan ik wel waarderen. 🙂
Oh en iOS is zo veilig, alleen Android gebruikers moeten zich zorgen maken om malware en virussen blablabla.. iOS en Android komen steeds dichter bij elkaar.. op vrijwel alle vlakken.
@mauze:
De code van een ontwikkelaar blijft voor de ontwikkelaar, Apple heeft niets te doen met jou code 🙂
Aangezien Apple alleen de uiteindelijke applicatie (dus niet de code) krijgt, is het voor Apple heel moeilijk om hier iets aan te doen, omdat de stukjes bijna niet te traceren zijn.
In het verslag van de exploit staan een aantal manieren om deze exploit tegen te gaan, maar dit probleem is niet 1, 2, 3 gefixt