Apple blokkeert Wirelurker-malware, maar kan meer doen
De donderdag ontdekte Wirelurker-malware die zich via een nieuwe manier op iOS nestelt, is door Apple onschadelijk gemaakt. Op OMT viel eerder al te lezen dat de malware geen acute bedreiging vormde en alleen voor iPhones met jailbreak een serieus gevaar was.
WireLurker werd geïnstalleerd zodra een iOS-apparaat via USB met een besmette Mac verbonden werd. Deze werden besmet door gekraakte apps uit een illegale Chinese App Store. Om de malware op iOS te installeren, werd een Enterprise-certificaat gebruikt. Apple heeft door de malware gebruikte certificaten ingetrokken, waardoor infecties niet langer mogelijk zijn.
De malware was gericht op Chinese iOS-gebruikers. Het doel van de malware was volgens onderzoeker Jonathan Zdziarski het achterhalen van de identiteit van Chinese software-piraten. WireLurker was volgens de onderzoeker verder vrij onschuldig. Apple liet het volgende weten:
“We are aware of malicious software available from a download site aimed at users in China, and we’ve blocked the identified apps to prevent them from launching,”
WireLurker was een van de eerste malware-soorten die via USB geïnstalleerd werd. Het maakte gebruik van een aantal geavanceerde technieken zoals het realtime besmetten en herverpakken van applicaties. Op een iPhone zonder jailbreak was de malware steeds gelimiteerd door de iOS-sandbox en kon praktisch niets.
Certificaten en Nintendo-emulators
Volgens Zdziarski kan Apple meer doen om verspreiding van dit soort malware in de toekomst tegen te gaan. Hij noemt de mogelijkheid om, door middel van enterprise certicaten, apps buiten de App Store om te installeren onnuttig. Dat zou volgens de onderzoeker alleen bij iPhones die zich in een ‘enterprise mode’ bevinden mogelijk moeten zijn.
Zo’n modus bestaat nog niet, maar dat wil niet zeggen dat Apple niets aan de beveiliging doet. In het verleden was het mogelijk om Nintendo-emulators die met oude certificaten verpakt waren te installeren. Sinds iOS 8 worden certificaten al actiever gecheckt en is dat onmogelijk geworden.