Op afstand geassembleerde malware gaat voorbij aan het screeningproces van Apple

Mysterie heeft lang gehuld hoe Apple iPhone-, iPad- en iPod-apps controleert op veiligheid. Nu hebben onderzoekers die erin geslaagd zijn een kwaadaardige app in de App Store te koop te krijgen, vastgesteld dat het beoordelingsproces van het bedrijf ten minste enkele programma's slechts een paar seconden uitvoert voordat ze groen licht geven.





Apple-malware

Slecht nieuws: Een screenshot van een app die zogenaamd alleen nieuws van Georgia Tech bood, maar echt vol zat met malware.

Dit duurde niet lang genoeg voor Apple om op te merken dat een app die beweerde nieuws van Georgia Tech te bieden, codefragmenten bevatte die zichzelf later samenvoegden tot een kwaadaardig digitaal wezen. Deze malware, die de onderzoekers Jekyll noemden, kon stiekem tweets plaatsen, e-mails en sms'jes versturen, persoonlijke informatie en apparaat-ID-nummers stelen, foto's maken en andere apps aanvallen. Het bood zelfs een manier om de effecten te vergroten, omdat het Safari, de standaardbrowser van Apple, naar een website met meer malware kon leiden.

De app deed een telefoon naar huis toen deze werd geïnstalleerd en vroeg om opdrachten. Dit gaf ons de mogelijkheid om nieuw gedrag van de logica van die app te genereren die niet bestond toen deze werd geïnstalleerd, zegt Long Lu, een onderzoeker van Stony Brook University die deel uitmaakte van het team van Georgia Tech, geleid door Tielei Wang, dat de App voor de gek van Apple.



De Jekyll-app was in maart maar een paar minuten live en geen onschuldige slachtoffers hebben hem geïnstalleerd, zegt Lu. Gedurende die korte tijd installeerden de onderzoekers het op hun eigen Apple-apparaten en vielen ze zichzelf aan, waarna de app werd teruggetrokken voordat het echt kwaad kon doen.

Lu zegt dat ze door de app in de gaten te houden, konden zien dat Apple hem slechts een paar seconden had gebruikt voordat hij werd uitgebracht. Tijdens de beoordeling was de kwaadaardige code ontleed in codegadgets die verborgen waren onder het mom van legitieme app-operaties en na goedkeuring aan elkaar konden worden genaaid. De boodschap die we willen overbrengen, is dat het Apple-beoordelingsproces op dit moment voornamelijk een statische analyse van de app uitvoert, wat volgens ons niet voldoende is omdat dynamisch gegenereerde logica niet gemakkelijk kan worden gezien, zegt Lu (zie Aanwijzingen suggereren dat malware in beweging is) van pc's naar mobiele apparaten).

De krant was gepland voor een lezing op vrijdag op de Usenix-conferentie in Washington, D.C. Tom Neumayr, een woordvoerder van Apple, zei dat het bedrijf enkele wijzigingen heeft aangebracht in zijn mobiele iOS-besturingssysteem als reactie op problemen die in de krant zijn geïdentificeerd. Neumayr wil geen commentaar geven op het app-beoordelingsproces.



Apple heeft meer dan 600 miljoen apparaten met iOS verkocht (iPhones, iPads en iPod Touches), maar er zijn slechts een handvol kwaadaardige apps ontdekt. Het nieuwe onderzoek toont aan dat het mogelijk is dat slechte apps op Apple-apparaten blijven hangen zonder dat ze zijn gedetecteerd, zegt Lu.

Om te weten of dat het geval is, zou het app-controleproces continue monitoring van de telefoons van klanten moeten omvatten, zegt Marc Rogers, hoofdonderzoeker bij Lookout, een mobiel beveiligingsbedrijf. Hij benadrukte dat alle besturingssystemen kwetsbaar zijn voor dit soort aanvallen, of ze nu mobiel zijn of niet.

Xuxian Jiang, een mobiele beveiligingsonderzoeker aan de North Carolina State University die de beveiliging van Android-apparaten en Google's app store, Google Play, heeft onderzocht, voegt eraan toe dat het nieuwe onderzoek ons ​​er eenvoudigweg aan herinnert dat geen enkel app-controleproces perfect zal zijn.



Dit verhaal is bijgewerkt om te verduidelijken dat de app tijdens de test van Apple maar een paar seconden werd uitgevoerd. Deze update breidde ook de context van de opmerking van Neumayr uit.

zich verstoppen