Kan utnytte Apple-IDer

Kan utnytte Apple-IDer

Spionprogram og UDID-er på avveie åpner nye muligheter for profesjonelle e-skurker.

Programmet Finspy Mobile, utviklet av Gamma International, er beregnet til bruk i spionasje. Applikasjonen ble stjålet fra selskapets server under en messe-demonstrasjon.

Nå misbrukes Finspy mobile sammen med de lekkede Apple UDID-ene som ble postet på nettet i forrige uke, skriver sikkerhetsselskapet Crowdstrike i en bloggpost.

Ad-hoc distribusjon

Apple støtter tre metoder for å distribuere programvare til IOS-enheter - ad-hoc, in-house og via App Store.

Ad-hoc distribusjon brukes gjerne for testing av applikasjoner, og krever at applikasjonen kjenner UDID-en til enheten programmet skal installeres på før selve installasjonen.

Kravet om UDID er en del av sikkerhetsmekanismen for ad-hoc distribusjon, og er derfor ikke egnet for de fleste typer cyberangrep.

Slik var det i det minste helt til hackergruppen Antisec publiserte en million UDID-er på nettet.

Avansert misbruk

Selv om en cyberskurk har en listen med UDID-er, og baker den inn i applikasjonen sin, så er det flere sikkerhetsfunksjoner som skal sikre brukere mot slik misbruk.

Blant annet installeres Finspy i en spesiell sandkasse for tredjepartsapplikasjoner.

Sandkassen skal sørge for at forskjellige applikasjoner kan kjøres sikkert og separat fra hverandre, og det er veldig vanskelig å få en app til å bryte ut av kontaineren sin og aksessere systemet direkte.

Det er riktignok en måte å gjøre det på, via privilege escalation - og det er nettopp slik det gjøres i dette tilfellet, mener Crowdstrike.

Men det er avanserte greier. Eskalering av privileger krever både solid kunnskap og kjennskap til svakheter og sikkerhetshull i operativsystemet som selv ikke utviklerne (i dette tilfellet Apple) kjenner til.

Unntaket er telefoner som er blitt jailbreaket - det vil si mobiler som er åpnet for uautoriserte applikasjoner. På slike enhter skal det ikke være nødvendig å utnytte ukjente sikkerhetshull for å installere skadevare med verktøy som Finspy.

Foreløpig teoretisk

Demonstrasjonsversjonen av Finspy som ble stjålet fra selskapets servere skal ifølge Crowdstrike ikke inneholde kode som utnytter ukjente sikkerhetshull.

Selv om åpne mobiler (jailbreak) allerede kan være utsatte, gjør de èn million fritt tilgjengelige UDID-er at mulighetene er store, for de som vet å utnytte dem.

Samtidig er det viktig at det foreløpig ikke er oppdaget skadekode som er distribuert på denne måten enda.

Sikkerhet