Infos

Découverte de Masque, une vulnérabilité grave dans iOS

La vulnérabilité exploitée par WireLurker a été dévoilée ; d’après des représentants de FireEye, la société Apple a reçu un rapport sur cette vulnérabilité en juillet, mais elle n’a toujours pas diffusé de correctif.

La description de cette vulnérabilité qui touche iOS 7.1.1, 7.1.2, 8.0, 8.1 et 8.1.1 beta indique qu’elle peut être exploitée contre des périphériques nomades d’Apple non seulement lors d’une connexion à un port USB, comme c’est le cas pour WireLurker, mais également à distance, grâce à l’envoi d’un SMS ou d’un message contenant un lien vers un malware. FireEye a baptisé ce mode d’infection Masque Attack.

Grâce à cette vulnérabilité, un individu malintentionné peut, à l’insu de l’utilisateur, substituer des applications iOS légitimes par des malwares et organiser des attaques, que le périphérique soit verrouillé ou non. Tao Wei, un des experts de FireEye, a fourni les explications suivantes dans le cadre de commentaires sur la découverte : il se fait que le mécanisme proposé par Apple aux développeurs de solutions pour entreprise ne prévoit pas la comparaison des certificats dans les cas où les applications possèdent des identificateurs communs. Grâce au service spécial de la société, un développeur peut créer et diffuser une application iOS sans la charger sur un site d’Apple.

D’après Tao Wei, l’attaque WireLurker est actuellement le seul cas d’exploitation itw de la vulnérabilité Masque. Interrogé par Threatpost, Tao Wei a déclaré : "Nous avons découvert que cette faille est bel et bien exploitée et nous avons dès lors considéré qu’il était de notre devoir de la divulguer.

Pour rappel, les informations relatives à WireLurker ont fait surface au début du mois de novembre et cela a fait beaucoup de bruit. Ce malware existe sous Mac OS X et sous Windows, toutefois les attaques organisées à l’aide de celui-ci sont limitées pour l’instant à la Chine. Lorsqu’un périphérique mobile est connecté à un ordinateur infecté, le malware recherche les applications iOS les plus populaires dans le pays et les remplace par un équivalent de type Trojan.

D’après les informations de FireEye, dans le cadre des attaques Masque, l’individu malintentionné peut remplacer la signature d’applications signées par le certificat d’un développeur pour entreprise. Ainsi, les chercheurs ont démontré la substitution de l’application Gmail valide téléchargée depuis l’Apple App Store officiel par une version malveillant qui conserve tous les messages dans la boîte de l’utilisateur.

"Grâce à Masque Attack, l’individu malintentionné peut obtenir toutes les données confidentielles stockées sur l’iPhone" prévient Tao Wei. L’attaquant doit seulement imiter l’interface d’ouverture de session de l’application d’origine ; les risques sont élevés non seulement pour les clients de messagerie, mais également pour les jeux. En théorie, les clients pour transactions bancaires signés sont également en danger car les individus malintentionnés peuvent obtenir leurs données via une backdoor. D’après FireEye, une fois la substitution terminées, les informations du répertoire actif de l’application authentique, y compris le cache local, demeurent en possession du malware.

La copie malveillante reçoit le même identificateur que l’original ; cette astuce permet de déjouer les outils de gestion des périphériques nomades (MDM). Comme le confirme Tao Wei : "iOS ne vérifie pas les certificats pendant la mise à jour. Ceci permet à l’attaquant de remplacer une application par son faux."

Il poursuit : "A l’heure actuelle, il n’existe aucune API MDM qui suivent les données de certificat de chaque application. C’est pour cette raison qu’il est très difficile de détecter ce genre d’attaque à l’aide du système MDM.

La découverte de cette vulnérabilité remonte à juillet dernier et elle fut présentée à Apple le 26 juillet. Tao Wei admet que "la vulnérabilité est très dangereuse et elle est peut être exploitée très facilement. C’est pourquoi nous avons estimé qu’il fallait prévenir les utilisateurs". S’agissant de WireLurker, ces deux versions ont été neutralisées et Apple a révoqué le certificat qu’elles utilisaient.

Threatpost

Découverte de Masque, une vulnérabilité grave dans iOS

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception