iOS – Après Wirelurker, voila Masque Attack, sa version corrigée et améliorée

2
108

La société FireEye a publié sur son blog les détails d’une attaque visant les terminaux sous iOS 7 et 8. Cette technique, très proche de celle utilisée par Wirelurker, permet à un attaquant d’installer sur le terminal une application non vérifiée par Apple.

La semaine dernière, Wirelurker a fait beaucoup parler de lui, un malware repéré en Chine qui utilisait une faille d’iOS pour faire valider des applications potentiellement dangereuses sur le terminal de l’utilisateur, via le provisioning entreprise du système. Si Wirelurker ne présentait pas une menace réelle, la faille exploitée par ses créateurs était susceptible d’être réutilisée par d’autres attaquants pour provoquer des dégâts bien plus importants. Apple avait annoncé avoir pris des mesures pour bloquer le développement de Wirelurker, notamment en ayant révoqué un certificat légitime exploité par le malware. mais les observateurs ne se déclaraient pas satisfait des correctifs apportés par Apple.

La société FireEye est revenue sur cette faille, qu’ils annoncent avoir détectée depuis le début de l’été et signalé à Apple en juillet. FireEye a baptisé cette vulnérabilité du nom de Masque Attack et décrit sur son blog ses découvertes sur cette faille de sécurité :

L’attaque décrite par FireEye permet à un attaquant de remplacer des applications certifiées par des versions similaires mais modifiées par ses soins. Ces nouvelles applications ne sont pas vérifiées par Apple et passent sous le radar des protections mises en place sous iOS. Selon FireEye, les applications substituées ont toujours accès aux données stockées dans le cache du terminal, donc aux mots de passes et identifiants stockées sur le terminal. L’attaque ne fonctionne pas avec les applications pré-installées sur iOS mais avec toutes les applications tierces. L’installation de ces applications est rendue possible par une faille dans la gestion des certificats entreprises d’iOS 7 et 8 et fonctionne autant sur les terminaux jailbreakés que sur les terminaux disposant d’une version standard d’iOS.

Les chercheurs de FireEye signalent avoir repéré plusieurs attaques exploitant cette faille au cours des derniers mois et citent évidemment le cas de Wirelurker, qu’ils décrivent comme une attaque exploitant « une version limitée » de Masque Attack. Face à cette menace, peu de moyens de protection sont disponibles : l’utilisateur devra (encore et toujours) se méfier des applications proposées par des éditeurs tiers et s’assurer (encore et toujours) de la provenance des applications qu’il installe sur l’ordinateur.

 
Source : ZDNet

Les commentaires sont fermés.