Beheer

Security
Apple

De weke onderbuik van de iPhone

Appcontrole Apple makkelijk te omzeilen

16 december 2016

Appcontrole Apple makkelijk te omzeilen

Apples App Store heeft de naam een voor malware ondoordringbaar fort te zijn. Maar die naam maakt de appwinkel niet helemaal waar. Ook bij iOS is waakzaamheid geboden om besmetting te voorkomen.

Besmetting van systemen via kwaadaardige apps – ook iOS van Apple is er niet immuun voor. In 2015 verwijderde Apple zeker 300 met malware besmette apps uit zijn App Store. Beveiliger FireEye vond toen zelfs ruim 4000 apps die met malware geïnfecteerd waren, die mogelijk op honderden miljoenen devices draaien. De malware werd in de apps geplaatst door een rogue-versie van Xcode, een ontwikkeltool voor iOS- en macOS-apps. Ontwikkelaars gebruikten een onofficiële versie van Xcode die, zonder dat de ontwikkelaars het wisten, malware in de apps plaatste.

Het was niet Apple zelf dat de malware ontdekte. De rogue-versie van Xcode en de aanwezigheid van besmette apps in zijn App Store werden opgemerkt door externe onderzoekers. Raul Siles, instructeur bij SANS Insitute, is daarom bepaald niet onder de indruk van de beveiligingsmaatregelen door Apple. “Apps worden alleen in de App Store geaccepteerd als alle code gesigneerd is door een geregistreerde ontwikkelaar.

Daarnaast heeft Apple een zeer strikt reviewproces, maar we hebben geen idee hoe Apple dat doet. We hebben tot nu toe acht specimen van malafide apps gevonden die door het reviewproces heen zijn gekomen. Nu is dat een bijzonder laag percentage – acht van de in totaal 2 miljoen apps die in de App Store staan – maar het maakt duidelijk dat ook malafide apps door de controle heen kunnen komen.”

Drie tegenmaatregelen

Raul Siles van Sans Insititute raadt drie maatregelen aan om iPhones en iPads tegen verborgen bedreigingen in de App Store te beschermen:

  1. Voer nooit een jailbreak uit op je telefoon. Je haalt heel veel beveiligingsmaatregelen weg en het is het echt niet waard om apps van 5 euro gratis op je iPhone te kunnen zetten.
  2. Wees alert. Weiger apps die buiten de officiële App Store of de eigen appwinkel om via bijvoorbeeld een webpagina, een sms of whatsapp aangeboden worden. De interne appwinkel distribueert apps altijd automatisch.
  3. Laat nooit iOS-apparaten onbeheerd achter en zeker niet zonder deze af te sluiten. Zorg dat het iOS-apparaat zichzelf snel afsluit; voor side loading heeft een onverlaat maar één minuut nodig. Dan is het niet erg veilig om je scherm automatisch pas na 5 minuten te laten sluiten.

Methoden van infectie

Dat jailbroken iPhones een makkelijke prooi vormen voor malware is bekend. Daarnaast kunnen ook iPhones die niet jailbroken zijn geïnfecteerd worden, zegt Siles. “Apple heeft twee programma’s voor ontwikkelaars; een programma voor individuele ontwikkelaars en een Enterprise Developers Program. Die laatste is bedoeld voor ontwikkelaars binnen grote organisaties die apps ontwikkelen op basis van iOS, die via hun eigen interne appwinkel worden gedistribueerd. Er is altijd van uit gegaan dat er specifieke mechanismen waren waardoor die interne apps niet buiten de eigen store gedistribueerd konden worden, maar dat kan dus wel. De enige blokkade blijkt te bestaan uit de voorwaarden van Apple waarin dat wordt verboden. Het is heel eenvoudig om met een valse identiteit een enteprise developers certificate te krijgen van Apple. Een e-mailadres en de naam van je bedrijf volstaan. Vervolgens kun je dus met apps die met dit certificaat gesigneerd zijn buiten de interne appwinkel alle apps distribueren die ja maar wilt.”
Met dat certificaat was het in het verleden mogelijk gebruikers heel makkelijk een app te laten installeren. Kregen zij een app gepusht dan volgde daarbij een pop-up waarin gevraagd werd of die gebruiker de ontwikkelaar van de app vertrouwde. Eén klik op ‘ja’ was genoeg. Siles: “Daar dit een steeds meer gebruikte malwaredistributiemethode werd, maakte Apple het wat moeilijker om een gebruiker met een pop-up aan te laten geven dat hij de ontwikkelaar vertrouwde. Nu moet hij drie keer klikken.”

De tweede methode maakt gebruik van side loading, dat sinds iOS 9 en Xcode 7 mogelijk is. Dit is een lokale installatie van een app, buiten de App Store om, zodat ontwikkelaars de eigen apps kunnen testen. De techniek kan ook misbruikt worden. Het blijkt mogelijk een malafide app te installeren op je iPhone, via een USB-aansluiting. Siles: “Daarvoor heeft de hacker alleen een fake account nodig om een ID te krijgen als iOS-developer. Wel moet de hacker fysiek toegang hebben tot het apparaat en mag de iPhone niet afgesloten zijn. Als dat het geval is, dan heeft de hacker maar één minuutje nodig om de app erop te zetten.”

Lees meer over
Zie ook Beheer op AG Connect Intelligence
3
Reacties
Ger Bakker 16 december 2016 22:45

Dit artikel bevestigt waarom ik geen abonnee van AG Connect wil worden. Met alle goede wil van de wereld kan ik me niet onttrekken aan de observatie dat AG een hekel heeft aan Apple. In inhoud en vorm is dit artikel niet oorspronkelijk, bevooroordeeld en tendentieus. Apple is blijkbaar de "weke onderbuik van AG". Die drie aanbevelingen, gelden die niet voor elke smart phone, Tanja?

Lowlander 16 december 2016 14:00

Inderdaad trapt SANS open deuren in, maar het is dan wel een slechte advertorial. Het regent de laatste tijd Apple ellende : 95% van de apps in de store zijn kopieen c.q. bagger / 30% accu lading probleem/ Watch OS update teruggetrokken / IP6 schermen die opeens strepen vertonen....etc en altijd gaat het volgens Apple ALTIJD om relatief kleine aantalen. De voorspelling van businessanalisten dat Apple het in 2017 wel eens moeilijk zou kunnen krijgen kan waarheid worden.

Ruurd Pels 16 december 2016 12:19

Ach jeetje. Een overschrijfartikel in de trant van 'WIJ van WC-eend'. Natuurlijk is SANS niet onder de indruk - dit soort gevallen word door dat soort instituten breed uitgemeten om er voor te zorgen dat ze hun raison-d'etre kunnen aantonen. Werkelijk niets in het artikel is informatie die nieuw is bij AG publiek. Het is in feite niet eens een artikel maar eerder een advertorial.

Reactie toevoegen