Découverte de Masque, une vulnérabilité grave dans iOS

La vulnérabilité exploitée par WireLurker a été dévoilée ; d’après des représentants de FireEye, la société Apple a reçu un rapport sur cette vulnérabilité en juillet, mais elle n’a toujours pas diffusé de correctif.

La description de cette vulnérabilité qui touche iOS 7.1.1, 7.1.2, 8.0, 8.1 et 8.1.1 beta indique qu’elle peut être exploitée contre des périphériques nomades d’Apple non seulement lors d’une connexion à un port USB, comme c’est le cas pour WireLurker, mais également à distance, grâce à l’envoi d’un SMS ou d’un message contenant un lien vers un malware. FireEye a baptisé ce mode d’infection Masque Attack.

Grâce à cette vulnérabilité, un individu malintentionné peut, à l’insu de l’utilisateur, substituer des applications iOS légitimes par des malwares et organiser des attaques, que le périphérique soit verrouillé ou non. Tao Wei, un des experts de FireEye, a fourni les explications suivantes dans le cadre de commentaires sur la découverte : il se fait que le mécanisme proposé par Apple aux développeurs de solutions pour entreprise ne prévoit pas la comparaison des certificats dans les cas où les applications possèdent des identificateurs communs. Grâce au service spécial de la société, un développeur peut créer et diffuser une application iOS sans la charger sur un site d’Apple.

D’après Tao Wei, l’attaque WireLurker est actuellement le seul cas d’exploitation itw de la vulnérabilité Masque. Interrogé par Threatpost, Tao Wei a déclaré : "Nous avons découvert que cette faille est bel et bien exploitée et nous avons dès lors considéré qu’il était de notre devoir de la divulguer.

Pour rappel, les informations relatives à WireLurker ont fait surface au début du mois de novembre et cela a fait beaucoup de bruit. Ce malware existe sous Mac OS X et sous Windows, toutefois les attaques organisées à l’aide de celui-ci sont limitées pour l’instant à la Chine. Lorsqu’un périphérique mobile est connecté à un ordinateur infecté, le malware recherche les applications iOS les plus populaires dans le pays et les remplace par un équivalent de type Trojan.

D’après les informations de FireEye, dans le cadre des attaques Masque, l’individu malintentionné peut remplacer la signature d’applications signées par le certificat d’un développeur pour entreprise. Ainsi, les chercheurs ont démontré la substitution de l’application Gmail valide téléchargée depuis l’Apple App Store officiel par une version malveillant qui conserve tous les messages dans la boîte de l’utilisateur.

"Grâce à Masque Attack, l’individu malintentionné peut obtenir toutes les données confidentielles stockées sur l’iPhone" prévient Tao Wei. L’attaquant doit seulement imiter l’interface d’ouverture de session de l’application d’origine ; les risques sont élevés non seulement pour les clients de messagerie, mais également pour les jeux. En théorie, les clients pour transactions bancaires signés sont également en danger car les individus malintentionnés peuvent obtenir leurs données via une backdoor. D’après FireEye, une fois la substitution terminées, les informations du répertoire actif de l’application authentique, y compris le cache local, demeurent en possession du malware.

La copie malveillante reçoit le même identificateur que l’original ; cette astuce permet de déjouer les outils de gestion des périphériques nomades (MDM). Comme le confirme Tao Wei : "iOS ne vérifie pas les certificats pendant la mise à jour. Ceci permet à l’attaquant de remplacer une application par son faux."

Il poursuit : "A l’heure actuelle, il n’existe aucune API MDM qui suivent les données de certificat de chaque application. C’est pour cette raison qu’il est très difficile de détecter ce genre d’attaque à l’aide du système MDM.

La découverte de cette vulnérabilité remonte à juillet dernier et elle fut présentée à Apple le 26 juillet. Tao Wei admet que "la vulnérabilité est très dangereuse et elle est peut être exploitée très facilement. C’est pourquoi nous avons estimé qu’il fallait prévenir les utilisateurs". S’agissant de WireLurker, ces deux versions ont été neutralisées et Apple a révoqué le certificat qu’elles utilisaient.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *