Masque Attack : Votre application iPhone peut en fait être une application clonée cachant un malware

Table des matières

• Masque Attack : Vos applications iPhone peuvent en fait être des malwares
• Comment fonctionne Masque ?
• Tous les appareils Apple iOS affectés
• Précautions contre l’attaque Masque

Masque Attack : Vos applications iPhone peuvent en fait être des malwares

Des chercheurs de FireEye ont identifié une nouvelle attaque qui peut être utilisée par des attaquants pour remplacer une application authentique par une autre chargée de malware. Les chercheurs de FireEye ont nommé cette nouvelle attaque « Masque Attack ».

En juillet, l’équipe de sécurité mobile de FireEye a découvert qu’une application iOS installée via un provisionnement d’entreprise ou ad-hoc pouvait remplacer une autre application authentique installée via l’App Store si les deux applications utilisaient le même identifiant de bundle. La vulnérabilité existe parce qu’iOS n’impose pas de certificats correspondants pour les applications ayant le même identifiant de bundle, selon la société.

Dans un exemple de la façon dont une attaque fonctionnerait, FireEye a envoyé un lien à un utilisateur de test l’invitant à télécharger une nouvelle mise à jour de Flappy Bird. Lorsque la personne a cliqué sur le lien, elle a téléchargé à son insu une mise à jour piratée de l’application Gmail légitime.
L’application Gmail piratée pouvait sembler identique à la vraie, mais pouvait envoyer une copie des e-mails confidentiels de l’utilisateur à un tiers à l’insu de l’utilisateur.

FireEye affirme que la même technique pourrait être utilisée pour tromper les gens en téléchargeant des versions malveillantes d’applications bancaires, qui transmettent des détails financiers, y compris des mots de passe, au hacker.

Comment fonctionne Masque ?

Une fois que la victime est incitée à installer l’application malveillante, les chercheurs de FireEye ont expliqué que l’application illégitime remplacera la véritable. FireEye affirme que seules les applications préinstallées comme Mobile Safari ne sont pas affectées par ce problème. Selon FireEye, l’attaquant peut exploiter ce problème à la fois sans fil et via USB.

« Après avoir examiné WireLurker, nous avons constaté qu’il a commencé à utiliser une forme limitée d’attaques Masque pour attaquer les appareils iOS via USB », ont blogué les chercheurs de FireEye. « Les attaques Masque peuvent représenter des menaces beaucoup plus importantes que WireLurker. Les attaques Masque peuvent remplacer des applications authentiques, telles que des applications bancaires et de messagerie, en utilisant le malware de l’attaquant via Internet. Cela signifie que l’attaquant peut voler les identifiants bancaires de l’utilisateur en remplaçant une application bancaire authentique par un malware ayant une interface utilisateur identique. Étonnamment, le malware peut même accéder aux données locales de l’application originale, qui n’ont pas été supprimées lorsque l’application originale a été remplacée. Ces données peuvent contenir des e-mails mis en cache, ou même des jetons de connexion que le malware peut utiliser pour se connecter directement au compte de l’utilisateur. »

Tous les appareils Apple iOS affectés

La vulnérabilité a été vérifiée par FireEye sur iOS 7.1.1, 7.1.2, 8.0, 8.1 et 8.1.1 bêta sur des appareils jailbreakés et non jailbreakés. FireEye a déclaré avoir informé Apple le 26 juillet 2014, mais Apple n’a pas répondu immédiatement. FireEye a déclaré avoir vu le Masque être exploité dans la nature.

« Parce que toutes les protections ou interfaces standard existantes d’Apple ne peuvent pas prévenir une telle attaque, nous demandons à Apple de fournir des interfaces plus puissantes aux fournisseurs de sécurité professionnels pour protéger les utilisateurs d’entreprise contre ces attaques avancées et d’autres. »

Précautions contre l’attaque Masque

Pour éviter la menace, FireEye affirme qu’il y a trois règles que chaque utilisateur d’iPhone et d’iPad devrait suivre :

2. N’installez pas d’applications provenant de sources tierces autres que l’App Store officiel d’Apple ou de votre propre organisation.

3. Ne cliquez pas sur « Installer » sur une fenêtre contextuelle d’une page web tierce.

4. Lors de l’ouverture d’une application, si iOS affiche une alerte avec « Développeur d’application non fiable », cliquez sur « Ne pas faire confiance » et désinstallez immédiatement l’application.

Alors que tout Internet s’emballe à propos de l’attaque Masque, Apple n’a jusqu’à présent ni accepté ni nié la vulnérabilité.