Waarom de ‘WireLurker’ malware geen acute bedreiging is

Apple Raymon Mens 6 nov 2014
Leestijd: 3 minuten

Vandaag zijn een boel bangmakende berichten over ‘het eerste echte iOS-virus dat zonder jailbreak werkt’ te lezen. Het heet WireLurker en probeert gebruikers een kwaadaardige Mac-app te laten installeren zodat het iOS-apparaten via USB kan infecteren.

Voor bijna niemand die dit leest is WireLurker een acute bedreiging. En mocht dat het wel zijn, dan is een infectie met de malware eenvoudig te voorkomen. Jailbreak of niet. OMT duikt dieper in de werking van WireLurker en de methode die de malware gebruikt om iOS-apparaten te infecteren.

Waar begon het?

Onderzoekers van Palo Alto Networks hebben de malware gevonden in een Chinese alternatieve App Store genaamd Maiyadi. Daar worden gekraakte apps aangeboden die de malware bevatten. Volgens het onderzoek zijn 467 OS X applicaties in de Chinese App Store voor gekraakte apps geïnfecteerd die samen honderduizenden keren gedownload zijn.

De Maiyadi App Store is de besmettingshaard.

Technisch geavanceerde malware

Zodra de malware eenmaal op een Mac geïnstalleerd is, wacht deze tot een iOS-apparaat is aangesloten. Daarna maakt deze misbruik van de vertrouwen­sband die een Mac en iPhone met elkaar hebben. WireLurker zet vervolgens een enterprise provisioning-profiel op de aangesloten telefoon. Dat wordt normaal door bedrijven gebruikt om eigen apps buiten de App Store om te installeren, maar kan ook misbruikt worden door aanvallers.

De malware misbruikt een Provisiong Profile.

WireLurker is volgens het rapport van Palo Alto Networks een van de eerste malware-varianten die USB en enterprise provisioning misbruikt om een kwaadaardige applicatie op een iOS-apparaat te plaatsen. Daarbij worden iOS-apps ook nog eens automatisch geïnfecteerd door op de Mac een ‘echte’ app aan te passen en deze op het iOS-apparaat te zetten.

Jailbreak en ingebouwde iOS-beveiliging

Indien WireLurker eenmaal een aangesloten iOS-apparaat heeft gevonden, vraagt het het serienummer, telefoonnummer en UDID gebruikte Apple ID op. Dit is informatie die iTunes normaal ook kan weergeven en opvragen. Daarna kijkt het of het iOS-apparaat gejailbreakt is.

Op iOS-apparaten die geen jailbreak hebben, kan de malware vervolgens kwaadaardige apps, die volgens het enterprise certificaat zijn toegestaan, installeren. Bij het openen van deze apps vraagt iOS de gebruiken altijd te bevestigen of de app die van een onbekende ontwikkelaar komt, te vertrouwen is. Zelfs als de gebruiker dit toestaat, gebruikt iOS sandboxing die ervoor zorgt dat apps niet buiten hun eigen schil kunnen graaien.

Een jailbreak is nodig om echt schade aan te richten.

Door een apparaat te jailbreaken, wordt een grote hoeveelheid van de standaard in iOS aanwezige beveiliging uitgeschakeld. De malware kan dan wél zijn gang gaan en maakt volgens het onderzoek van Palo Alto Networks onder andere het adresboek, iMessage-gesprekken en meer buit. Bovendien kan WireLurker dan blijvende aanpassingen aan systeembestanden doen. De malware is volgens het onderzoek actief in ontwikkeling, dus meer narigheid is in dat geval niet uit te sluiten.

Kans op infectie klein

Hoewel de malware in China een probleem kan zijn, is de kans op infectie voor westerse gebruikers klein. Om geïnfecteerd te raken moet je namelijk:

  • Gekraakte software uit een Chinese App Store of andere illegale bron downloaden.
  • De beveiliging in OS X die het uitvoeren van ongesigneerde apps voorkomt uitschakelen.
  • Je iPhone via USB met de geïnfecteerde Mac verbinden.
  • Een vreemde app openen en een waarschuwing van iOS negeren.

Al doe je dit allemaal, dan zorgt de Sandboxing van iOS er alsnog voor dat WireLurker niet veel kan. Alleen op iOS-apparaten met een jailbreak kan de malware makkelijker zijn gang gaan. Dat maakt WireLurker niet zoveel anders dan andere iOS-malware, op de technisch geavanceerde manier van het misbruiken van een Mac na dan.

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Het beste wat tech en culture te bieden heeft 🚀

De laatste ontwikkelingen iedere vrijdag in je mailbox? WANT houdt je op de hoogte!

Onderwerpen