Masque Attack permet Ă  de fausses applications de s'installer sur iOS

Et pas besoin de câble USB cette fois
Masque Attack permet Ă  de fausses applications de s'installer sur iOS
Crédits : AAAAA> AAAAAAA/iStock/Thinkstock

La technique « Masque Attack Â» permet sur iOS de faire installer par l’utilisateur une application malveillante se faisant passer pour lĂ©gitime. Comme pour Wirelurker la semaine dernière, ces fausses applications utilisent un certificat spĂ©cial pour les entreprises. Mais selon Apple, aucun utilisateur n’a Ă©tĂ© touchĂ© par cette menace pour l’instant.

La semaine dernière, le malware Wirelurker avait fait parler de lui à cause de la capacité qu’il avait de se glisser sur des appareils iOS non-jailbreakés. Pour ce faire, une application vérolée téléchargée sur OS X utilisait le câble USB pour envoyer une fausse application. Pour les appareils classiques, il n’y avait a priori pas de danger car l’application envoyée ne faisait rien de particulier. Par contre, en cas de jailbreak, le malware ne se privait pas de récolter de nombreuses données. Apple invitait alors les utilisateurs à ne récupérer leurs logiciels pour OS X que depuis le Mac App Store ou depuis des sources de confiance.

Il suffit d'accepter une invitation Ă  installer une application 

Et voilĂ  qu’une autre menace fait son apparition. NommĂ©e « Masque Attack Â», elle exploite un vecteur un peu diffĂ©rent car elle ne passe pas cette fois par le Mac, mais par un simple lien dans un navigateur. Depuis un appareil iOS, cliquer sur le lien propose de tĂ©lĂ©charger une application ou un jeu, mais l’utilisateur rĂ©cupère en fait sans le savoir une fausse version d’une application rĂ©elle, comme Gmail. Elle se comporte pratiquement comme la vraie et est de fait difficile Ă  dĂ©tecter, mais elle rĂ©cupère Ă©videmment des informations personnelles sur les Ă©changes.

 

Le problème a Ă©tĂ© dĂ©couvert par la sociĂ©tĂ© de sĂ©curitĂ© FireEye qui explique que pour s’installer, la fausse application s’appuie sur un certificat fourni aux entreprises pour pouvoir dĂ©ployer en interne leurs propres crĂ©ations. Une mĂ©thode dĂ©jĂ  utilisĂ©e par Wirelurker, sauf que cette fois, la « Masque Attack Â» n’a pas besoin d’une connexion USB ni d’un logiciel vĂ©rolĂ© pour OS X. Puisque la mĂ©thode est exploitable dans tous les pays, l’US-CERT a Ă©mis un bulletin d’alerte.

Pour Apple, il n'y a pas de quoi paniquer 

Il y a plusieurs fausses applications et elles appliquent toutes le même stratagème. À chaque fois, le but est de récupérer les identifiants de l’utilisateur et de se servir des API à disposition pour effectuer certaines tâches, notamment surveiller certaines activités. Toutes les données qui peuvent être captées le seront et FireEye précise que l’application pourra aller fouiller dans certains caches.

 

Pour Apple cependant, il n’y a pas urgence, mĂŞme si FireEye indique avoir prĂ©vu Cupertino dès le 26 juillet du problème. D’ailleurs, l’efficacitĂ© de l’attaque a Ă©tĂ© testĂ©e sur les versions 7.1.1, 7.1.2, 8.0, 8.1 et 8.1.1 bĂŞta d’iOS, avec succès. Mais la firme indique : « Nous avons conçu OS X et iOS avec des protections intĂ©grĂ©es qui aident Ă  protĂ©ger les clients et Ă  les avertir avant qu’ils n’installent des applications potentiellement dangereuses. Nous ne sommes au courant d’aucun utilisateur affectĂ© par cette attaque. Nous encourageons les clients Ă  ne tĂ©lĂ©charger des applications que depuis des sources de confiance telles que l’App Store et Ă  faire attention Ă  tout avertissement quand ils en tĂ©lĂ©chargent. Les clients professionnels installant des applications personnalisĂ©es devraient en installer depuis le site sĂ©curitĂ© de leur entreprise Â».

N'installer rien qui ne provienne de l'App Store 

En fait, pour un utilisateur classique, la seule source possible d’installation est l’App Store. De fait, il devrait se mĂ©fier immĂ©diatement de toute proposition de tĂ©lĂ©chargement qui ne renverrait pas directement vers une fiche de la boutique mobile. Par ailleurs, un avertissement peut apparaĂ®tre pour signaler que le dĂ©veloppeur n’est pas connu et qu’il y a un problème de confiance : mieux vaut dans ce cas refuser et dĂ©sinstaller l’application. Il n’est d’ailleurs pas impossible que vous soyez confrontĂ© au problème, le vecteur d’attaque pouvant toujours ĂŞtre utilisĂ©.

 

Le souci rĂ©side dans la manière dont Apple fournit des certificats spĂ©ciaux aux entreprises en cas de dĂ©ploiement interne. Certaines grosses structures disposent en effet d’applications spĂ©cifiques pour lesquelles la firme propose une installation sur des appareils sans passer par l’App Store et ses Ă©tapes de validation. Le certificat permet alors auxdites applications d’être reconnues comme authentiques. Un seul certificat est nĂ©cessaire pour toutes les crĂ©ations d’une entreprise. Apple pourrait donc rĂ©voquer un ou plusieurs certificats, mais en attendant, la consigne est simple : il n’y a pas de raison de paniquer, mais il faudra faire quand mĂŞme attention Ă  ce qui vous est proposĂ©.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'ĂŞtes pas encore INpactien ?

Inscrivez-vous !