Masque Attack : le malware WireLurker n’était qu’un avant-goût de la vraie menace

Nicolas Furno |

La semaine dernière, une nouvelle menace était révélée contre les appareils iOS. Nommée WireLurker, elle nécessitait pour fonctionner de passer par un Mac, un câble USB et elle consistait à installer des malwares qui se faisaient passer pour des applications iOS légitimes. Apple a rapidement réagi en bloquant cette menace, mais on apprend ce soir que ce malware cache peut-être une menace plus importante encore.

Ils arrivent !

Derrière le nom amusant de Masque Attack, une menace bien réelle : l’équipe de chercheurs en sécurité de FireEye a trouvé un moyen d’installer des malwares sur n’importe quel appareils iOS, débridés ou non, y compris sur la toute dernière version en bêta (iOS 8.1.1). Le logiciel malveillant se fait passer pour une application légitime, comme avec WireLurker, mais la différence de taille, c’est qu’il n’est plus nécessaire de passer par un ordinateur : tout peut se faire sur l’appareil, avec un navigateur web.

La démonstration proposée par les chercheurs est assez éloquente. L’idée est de récupérer le contenu protégé d’une autre application (en l’occurence, Gmail) en faisant télécharger par l’utilisateur le malware, mais tout en lui faisant croire qu’il installe une vraie application, en l’occurrence un nouveau Flappy Bird. Le lien vers cette fausse application est envoyé via un SMS, mais ce n’est qu’un exemple, l’essentiel est que la victime clique sur ce lien et accepte d’installer l’application.

Comme on le voit très bien dans la vidéo de démonstration, Flappy Bird n’est jamais installé : à la place, Gmail est mis à jour. L’utilisateur attentif le verra peut-être et se méfiera, mais comme souvent, ce genre de malware touchera les néophytes, ceux qui ne savent pas que les applications sont censées être installées exclusivement à partir de l’App Store, pour commencer. À partir de là, le malware est installé et l’application Gmail a été supprimée du téléphone. Mais les données originales sont toujours présentes sur le téléphone, et elles peuvent très bien être exploitées par le malware.

Dans cette démonstration, l’ensemble des données contenues dans la mémoire de l’application a été envoyé sur un serveur. Naturellement, dans le cas d’un vrai malware, on pourrait avoir une interface très proche de l’application originale, pour que l’utilisateur ne s’aperçoive pas immédiatement de la supercherie. C’est bien là le problème, et le danger, de cette faille de sécurité : une fois installé, le malware ressemble à deux gouttes d’eau à une application légitime.

FireEye aurait alerté Apple en juillet, mais l’entreprise de Cupertino n’aurait à ce jour apporté aucune réponse. L’entreprise ajoute qu’ils ont la preuve que cette faille est d’ores et déjà exploitée à l’heure actuelle et que c’est pour cette raison qu’ils publient l’information, espérant ainsi pousser Apple à réagir plus rapidement.

En attendant une mise à jour d’iOS, la prudence reste de mise. Et même si vous, vous savez bien qu’il faut passer par l’App Store, n’oubliez pas que ce n’est pas forcément le cas de vos proches. Passez le mot à vos familles et vos amis : toutes les applications doivent absolument être installées en passant par l’App Store et en saisissant un mot de passe ou en utilisant son empreinte digitale. En cas de doute, mieux vaut toujours s’abstenir.


avatar Arn01 | 

Si j'ai bien lu un autre article, safari n'est pas touché, c'est les applications tierce qui ont la faille

avatar fousfous | 

Et voilà ca que ça donne l'ouverture...

avatar vandykmarsu | 

Du navak si l'on télécharge pas sur des sites tierces...

avatar smog | 

"ceux qui ne savent pas que les applications ne sont pas censées être installées exclusivement à partir de l’App Store, pour commencer."

Il n'y a pas une erreur dans la formulation ? (Ou bien je n'ai pas compris...)

avatar mateodu13 | 

@smog :
Il y a bien une erreur de formulation

avatar SMDL | 

@mateodu13 :

Non, pas du tout. C'est très clair : "ceux qui ignorent que l'on peut installer des exécutables sans passer par l'appstore. " où est le problème ?

avatar SMDL | 

@SMDL :

C'est peut-être l'usage de deux litotes de suite qui perturbent votre lecture ?

avatar vache folle | 

Apple peut bien prétendre avoir l'OS le plus sécurisé, il est navrant qu'il faille chaque fois passer par des annonces publiques de "white hat" pour qu'elle se bouge les miches et applique des correctifs.

avatar Olydiver | 

@vache folle :

Oui c'est bien le plus sécurisé, la preuve en allant sur Google Play on peut directement télécharger un malware car il y a aucune vérification à la publication...

avatar Ast2001 | 

N'importe quoi...

avatar Superboy58 (non vérifié) | 

Pure désinformation... Pour ton info, une sorte d'antivirus tourne en permanence chez Google pour scruter les millions d'apps du Play Store.

avatar Trillot Bernard | 

Vous n'en savez rien, pourquoi dites vous ça? Expliquez vous et donnez des arguments que vous auriez sur la réaction en interne d'Apple!

avatar patrick86 | 

@vache folle :

"Machin meilleur que truc" ne veut PAS dire "machin parfait et truc à chier".

avatar Apollo11 | 

S'il fallait qu'en plus l'attaquant puisse se faire passer pour quelqu'un dans notre carnet d'adresse, le SMS avec un faux lien serait encore plus efficace. Bref, comme disait ma mère : ne parle pas aux inconnus.

avatar Jymini | 

Ça laisse une trace avec un profil de configuration ou profil d'app? Comme lorsque que l'on installe des apps entreprise distribuées en dehors de l'AppStore ?

avatar trarz opir | 

En même temps, aller sur les sites p2p et installer n'importe quoi, c'est un peu comme aller voir une prostituée sans préservatif. :))

avatar mateodu13 | 

@trarzopir :
Tu trouveras toujours des inconscients pour le faire (installer des app´ en provenance de sites P2P ainsi que des mecs qui vont aller baiser des prostituées sans capotes).

avatar Alyena | 

Un petit tour sur Appcake sans capote les amis ?? ^^

avatar mateodu13 | 

@Alyena :
Si vous finissez avec des petits boutons, faudra pas venir vous plaindre !

avatar lamainfroide | 

Mon iPhone est protégé par un boitier étanche.
Ça va, je crains rien, hein ?
Je peux télécharger une prostituée sur un p2p, si je veux ?

avatar alexandre92 | 

Est-ce que la lenteur de réaction d'Apple ne serait pas aussi un coup porté au jailbreak ? "Passez uniquement par l'Apple Store et tout ira bien"

Mais surtout, à lire l'article original, les chercheurs sont plus inquiets pour les admins qui ont à gérer des flottes de terminaux iOS et qui gèrent des applis "maison" dont l'installation ne passe pas par l'Apple Store (j'ai l'exemple d'un gros assureur en tête) que pour l'utilisateur lambda qui n'aura qu'à s'en prendre à lui même s'il a la chtouille après avoir piraté une appli

avatar KillR32 | 

Tien, comme par hasard ils utilise une signature De l'App Gmail. C'est pas sensé être gardé secret ce gendre de trucs ?! Moi j'ai bannie tous ce qui vient de GoGole.com la Watching You Compagny

avatar Superboy58 (non vérifié) | 

C'est qu'un exemple utilisé par les chercheur pour leurs démonstration, t'emballes pas !
Quand à ta remarque j'ai envie de dire t'aura beau bannir Google le jour ou tu te retrouvera avec un malware sur ton téléphone tes informations seront entre les mains de personnes beaucoup moins recommandables que Google.

avatar Superboy58 (non vérifié) | 

On entends souvent que le fait de pouvoir autoriser l'installation d'applications tierces sur Android est très dangereux. Sur iOS c'est sensé ne pas être possible, et pourtant...
Comme quoi OS fermé != OS sécurisé.

avatar bunam | 

d'après ce que j'ai compris, il faut :
- qu'un profil entreprise soit installé (déjà ça, ça ouvre pas mal de possibilités)
- ensuite il faut récupérer le nom interne d'une app, c'est en fait un ID unique sur l'App Store, faire une app avec cet ID
- que la personne en charge de la flotte d'appareil lance l'installation de cette mauvaise App (1er problème le système accepte de le faire), elle remplacera alors l'App cible sans effacer ses données (c'est la le 2d problème)

Le risque est minime.

Par contre si vous acceptez d'installer un profil d'une provenance douteuse, faut pas venir se plaindre ;)

CONNEXION UTILISATEUR