Masque Attack permet à de fausses applications de s'installer sur iOS

Et pas besoin de câble USB cette fois

Masque Attack permet à de fausses applications de s’installer sur iOS

Masque Attack permet à de fausses applications de s'installer sur iOS

La technique « Masque Attack » permet sur iOS de faire installer par l’utilisateur une application malveillante se faisant passer pour légitime. Comme pour Wirelurker la semaine dernière, ces fausses applications utilisent un certificat spécial pour les entreprises. Mais selon Apple, aucun utilisateur n’a été touché par cette menace pour l’instant.

La semaine dernière, le malware Wirelurker avait fait parler de lui à cause de la capacité qu’il avait de se glisser sur des appareils iOS non-jailbreakés. Pour ce faire, une application vérolée téléchargée sur OS X utilisait le câble USB pour envoyer une fausse application. Pour les appareils classiques, il n’y avait a priori pas de danger car l’application envoyée ne faisait rien de particulier. Par contre, en cas de jailbreak, le malware ne se privait pas de récolter de nombreuses données. Apple invitait alors les utilisateurs à ne récupérer leurs logiciels pour OS X que depuis le Mac App Store ou depuis des sources de confiance.

Il suffit d'accepter une invitation à installer une application 

Et voilà qu’une autre menace fait son apparition. Nommée « Masque Attack », elle exploite un vecteur un peu différent car elle ne passe pas cette fois par le Mac, mais par un simple lien dans un navigateur. Depuis un appareil iOS, cliquer sur le lien propose de télécharger une application ou un jeu, mais l’utilisateur récupère en fait sans le savoir une fausse version d’une application réelle, comme Gmail. Elle se comporte pratiquement comme la vraie et est de fait difficile à détecter, mais elle récupère évidemment des informations personnelles sur les échanges.

 

Le problème a été découvert par la société de sécurité FireEye qui explique que pour s’installer, la fausse application s’appuie sur un certificat fourni aux entreprises pour pouvoir déployer en interne leurs propres créations. Une méthode déjà utilisée par Wirelurker, sauf que cette fois, la « Masque Attack » n’a pas besoin d’une connexion USB ni d’un logiciel vérolé pour OS X. Puisque la méthode est exploitable dans tous les pays, l’US-CERT a émis un bulletin d’alerte.

Pour Apple, il n'y a pas de quoi paniquer 

Il y a plusieurs fausses applications et elles appliquent toutes le même stratagème. À chaque fois, le but est de récupérer les identifiants de l’utilisateur et de se servir des API à disposition pour effectuer certaines tâches, notamment surveiller certaines activités. Toutes les données qui peuvent être captées le seront et FireEye précise que l’application pourra aller fouiller dans certains caches.

 

Pour Apple cependant, il n’y a pas urgence, même si FireEye indique avoir prévu Cupertino dès le 26 juillet du problème. D’ailleurs, l’efficacité de l’attaque a été testée sur les versions 7.1.1, 7.1.2, 8.0, 8.1 et 8.1.1 bêta d’iOS, avec succès. Mais la firme indique : « Nous avons conçu OS X et iOS avec des protections intégrées qui aident à protéger les clients et à les avertir avant qu’ils n’installent des applications potentiellement dangereuses. Nous ne sommes au courant d’aucun utilisateur affecté par cette attaque. Nous encourageons les clients à ne télécharger des applications que depuis des sources de confiance telles que l’App Store et à faire attention à tout avertissement quand ils en téléchargent. Les clients professionnels installant des applications personnalisées devraient en installer depuis le site sécurité de leur entreprise ».

N'installer rien qui ne provienne de l'App Store 

En fait, pour un utilisateur classique, la seule source possible d’installation est l’App Store. De fait, il devrait se méfier immédiatement de toute proposition de téléchargement qui ne renverrait pas directement vers une fiche de la boutique mobile. Par ailleurs, un avertissement peut apparaître pour signaler que le développeur n’est pas connu et qu’il y a un problème de confiance : mieux vaut dans ce cas refuser et désinstaller l’application. Il n’est d’ailleurs pas impossible que vous soyez confronté au problème, le vecteur d’attaque pouvant toujours être utilisé.

 

Le souci réside dans la manière dont Apple fournit des certificats spéciaux aux entreprises en cas de déploiement interne. Certaines grosses structures disposent en effet d’applications spécifiques pour lesquelles la firme propose une installation sur des appareils sans passer par l’App Store et ses étapes de validation. Le certificat permet alors auxdites applications d’être reconnues comme authentiques. Un seul certificat est nécessaire pour toutes les créations d’une entreprise. Apple pourrait donc révoquer un ou plusieurs certificats, mais en attendant, la consigne est simple : il n’y a pas de raison de paniquer, mais il faudra faire quand même attention à ce qui vous est proposé.

Commentaires (23)


J’avoue avoir déjà installé des apps venant de FB, mais de toute façon, c’est sur l’appstore après.. donc c’est ou ce sera controlé




Nous ne sommes au courant d’aucun utilisateur affecté par cette attaque.





J’adore. <img data-src=" />

Comme si ça changeait quelque chose au problème…



C’est tout à fait le même genre d’évitement de question que j’entends dans des interviews de personnes politiques (“je suis pas au courant”).


Entre ces p$%`ù de pubs sur les sites qui enclenchent les fiches produits sur l’application AppStore (comportement autorisé par Apple sur iOS) et ce type de hack, je pense qu’il va y avoir plusieurs personnes qui vont se faire avoir.

&nbsp;








Winderly a écrit :



J’adore. <img data-src=" />

Comme si ça changeait quelque chose au problème…



C’est tout à fait le même genre d’évitement de question que j’entends dans des interviews de personnes politiques (“je suis pas au courant”).





Ca fait genre “seulement 9 de nos clients ont constaté la déformation de leur iphone”



+1


En même temps, que veux tu qu’ils fassent à la place:



   - Une affirmation catégorique pour dire qu'aucun client n'est touché &nbsp;( ce qui n'est pas facile à &nbsp;vérifier)     

- Ou donner un chiffre approximatif basé sur rien ? <img data-src=">







Winderly a écrit :



J’adore. <img data-src=" />

Comme si ça changeait quelque chose au problème…



C’est tout à fait le même genre d’évitement de question que j’entends dans des interviews de personnes politiques (“je suis pas au courant”).





Le réel problème, c’est que les dev d’entreprise qui peuvent utiliser cette technique pour tester leur appli en live (pas de virtuel sur osx donc) risque de ne plus pouvoir le faire simplement car certaine personne l’utilise pour véroler à distance.&nbsp;



Une solution consisterait à pouvoir installer des certificats uniquement depuis osx avec un logiciel spécifique vérifiant l’authenticité. Mais là encore ca râlera parce que c’est moins flexible.&nbsp;



Tous le monde se plaint de la prison dorée, mais des qu’apple enlève 1 ou 2 barreaux voilà ou ca mène.



Rien qu’adblock pour ios demande l’install de certificat…. donc oui c’est bien de pouvoir les installer, mais attention à ceux qu’on accepte. Sans ca retour arrière: aller en prison, ne passez pas par la case départ, ne touchez pas 20 000 frs :)



Ben à ce moment là, autant rien dire, le résultat sera le même.



Parce qu’avec ce genre de déclaration, tu peux être certain que des utilisateurs seront certains de pas être infectés, alors qu’ils le sont.








eres a écrit :



Entre ces p$%`ù de pubs sur les sites qui enclenchent les fiches produits sur l’application AppStore (comportement autorisé par Apple sur iOS) et ce type de hack, je pense qu’il va y avoir plusieurs personnes qui vont se faire avoir.

&nbsp;





Un peu d’explication sur ça serai assez bienvenu (surtout pour un non utilisateur d’iOS comme moi).



Au passage, le même type de problème peut parfaitement arriver sur Androïd, Windows Phone ou BBM. Donc soyez vigilants et passez par le magasin d’application respectif de votre OS mobile (sauf à vouloir prendre des risques).&nbsp;



Y’a souvent sur certains sites/ou applis pas très regardants quand à leur régie de pubs, des liens ou des chargements auto vers un appli du store, ce qui fait que si t’as le malheur de toucher le lien, tu te retrouves dans le store sans rien avoir demandé (et pas de confirmation de bascule entre les deux).

En plus avant iOS 8, un tel lien dans une appli ouvrait dans un premier temps safari (normal, adresse web) qui parcourait les différentes redirections jusqu’à ouvrir le store ensuite.








Gilbert_Gosseyn a écrit :



Au passage, le même type de problème peut parfaitement arriver sur Androïd, Windows Phone ou BBM.&nbsp;



Tout à fait mais il n’y a qu’Apple pour affirmer sans rire que ses systèmes sont sûrs à 100%. Il est là le problème. <img data-src=" />



« Et pas besoin de câble USB cette fois »

Apple innove de plus en plus fort <img data-src=" />








Gilbert_Gosseyn a écrit :



Un peu d’explication sur ça serai assez bienvenu (surtout pour un non utilisateur d’iOS comme moi).



Au passage, le même type de problème peut parfaitement arriver sur Androïd, Windows Phone ou BBM. Donc soyez vigilants et passez par le magasin d’application respectif de votre OS mobile (sauf à vouloir prendre des risques).







À part Android (cette passoire), les autres on n’en sait rien. De toute façon, le problème, c’est la comm d’Apple qui consiste à fermer les yeux et faire comme si de rien n’était. Ici, le problème pourrait se régler assez facilement, faire comme IE fait depuis toujours, changer ce qui est possible de faire ou pas selon l’emplacement du site visité (internet, LAN…). Installer une app depuis le navigateur pourrait être limité au LAN par exemple, ça rajoute un contrainte mais faudrait ensuite faire un truc un peu plus blindé pour l’install depuis internet.









eres a écrit :



Entre ces p$%`ù de pubs sur les sites qui enclenchent les fiches produits sur l’application AppStore (comportement autorisé par Apple sur iOS) et ce type de hack, je pense qu’il va y avoir plusieurs personnes qui vont se faire avoir.

&nbsp;





Désactive l’AppStore dans les restrictions et tu ne seras plus emmerdé par ces détournements.



Réactive l’AppStore pour les mises-à-jour.



Je sais c’est ennuyeux mais au moins quand on lit les nouvelles le matin devant son petit déj plus de soucis.



Sauf que sous Android une appli qui ne provient pas du market tu as un popup disant “attention vous n’êtes pas en sécurité” et il affiche dans tous les cas les autorisations auxquelles l’app aura acces. Là si je comprend bien l’application s’installe “comme si elle était validé par Apple” <img data-src=" />&nbsp;



Après, on en revient aux régles de prudence de base sur internet …&nbsp;



Pour BB, tu peux installer un package hors market d’ailleurs … c’est comme sur Android : warning avant install ?&nbsp;








Nyquist a écrit :



« Et pas besoin de câble USB cette fois »

Apple innove de plus en plus fort <img data-src=" />





Je ne me moque pas d’habitude mais là&nbsp;<img data-src=" />



Sérieusement sinon : il n’y a pas d’antivirus sur iOS ??



Pas besoin, c’est sécurisé <img data-src=" /> (bon allez, j’arrête)



Et en fait si :http://www.avira.com/en/free-antivirus-ios


pas besoin, il n’y a pas de virus sur iOS <img data-src=" />



grillé à 20s… ça m’apprendra à répondre au téléphone


Au fait c’est quoi ce téléphone qui illustre la news, on dirait une vieille télécommande high tech de domotique plutôt qu’un iPhone <img data-src=" />








Nyquist a écrit :



Pas besoin, c’est sécurisé <img data-src=" /> (bon allez, j’arrête)



Et en fait si :http://www.avira.com/en/free-antivirus-ios





C’est ce que j’ai sous Android. .. et ça me trouve des trucs parfois…



cette histoire ressemble quand même à une faille de type 0-day:



Apple a quand même été prévenue depuis le 26 juillet, et on ne découvre cette histoire que maintenant.

Surtout pour entendre que il n’y a rien de grave et que personne n’a été touché (à leur connaissance).



&nbsp;Et je crois que ce dernier truc est le pire :

Evidemment qu’un aspirateur de données/mdp et autre ne va pas se signaler sur l’appareil en indiquant être en train de couiner l’utilisateur…



Et d’antant plus que l’installation semble se faire de manière transparente: quelqu’un qui se fait avoir a très peu de chances de s’en apercevoir…


D’ailleurs, qu’est ce qui empêche la page internet d’imiter une page d’appstore?



Certes, on sera alors dans Safari, ce qui doit normalement être visible (je suis sous android, je ne peux pas vérifier ça).

Mais connaissant les gens de manière générale, beaucoup risquent de ne pas s’en apercevoir.



du coup leur remarque consistant à faire attention aux sources de leur application n’est même pas bonne:



la seule vraie parade est de démarrer manuellement l’appstore et d’y faire la recherche de soit même. donc de ne jamais rien installer de fourni par un même, et même si cela semble rediriger vers l’appstore.



(Et je n’imagine pas grand monde prendre ce genre de précautions, moi le premier)


C’est surement la prochaine étapes mon cher Gemini_power…



et là on sera dans la merde.


Fermer