Er gaat geen week voorbij zonder dat een vorm van iOS-malware in het nieuws is. Onderzoekers van FireEye hebben een methode uit de doeken gedaan die het mogelijk maakt authentieke applicaties te vervangen door malware.

Net als bij de WireLurker malware die vorige week in het nieuws was, is het door middel van Masque mogelijk om buiten de App Store om een malafide applicatie te installeren. Ook dit keer worden enterprise-certificaten misbruikt.

De kwaadaardige app wordt door middel van de browser geïnstalleerd. De onderzoekers sturen het slachtoffer naar een bepaalde site die vraagt of de gebruiker een nieuwe versie van Flappy Bird wil installeren. In werkelijkheid wordt bijvoorbeeld de Gmail-app overschreven met een kwaadaardige app.

De mogelijkheid om bestaande apps te overschrijven ontstaat omdat Apple niet checkt of apps met hetzelfde Bundle ID ook hetzelfde certificaat ge­bruiken. Zo kan een kwaadaardige app zich voordoen als Gmail. Apps die standaard in iOS aanwezig zijn, kunnen overigens niet overschreven worden.

Oude, maar geen eenvoudig uitvoerbare truc Eenmaal aanwezig kan een kwaadaardige app nog steeds alleen binnen zijn eigen sandbox opereren. Bij een mail-app ontstaat zo de mogelijkheid om berichten die op de telefoon opgeslagen zijn uit te lezen. Ook kunnen notificaties afgevangen worden. Toch is het geen truc die makkelijk op grote schaal toegepast kan worden. Het volgende is nodig:

Een iOS Developer Enterprise certificaat of de universal device identifier (UDID) van het apparaat dat aangevallen wordt hebben Een kwaadaardige app maken die op een populaire app lijkt Gebruikers zo ver krijgen om een app buiten de App Store om te downloaden Gebruikers de waarschuwing dat de app uit onbekende bron komt laten negeren De truc werkt zowel op iOS 7 als iOS 8 en vereist geen jailbreak, maar nog steeds het negeren van waarschuwingen. Enterprise certificaten worden steeds vaker misbruikt om kwaadaardige apps te installeren. Hoewel deze het voor bedrijven makkelijk maken om eigen apps uit te rollen, doen ze voor eindgebruikers meestal meer kwaad dan goed. Apple kan certificaten die misbruikt worden intrekken om malware onschadelijk te maken.