Helt åpent for angrep

Sikkerhetsselskapet Fireeye har oppdaget en alvorlig sikkerhetsbrist i Iphone og Ipad, som gjør det mulig for angripere å installere falske apper. Disse kan innlemmes på samme måte som kjente apper på telefonen og nettbrettet.

Via disse installasjonene vil hackerne kunne få adgang til stort sett all informasjon på telefonen.

Ifølge Fireeye heter teknikken «Masque Attack».

I en video-fremvisning av metoden fra Fireeye blir det mailet en URL til en Iphone med hensikt å installere en oppdatert versjon av spillappen Flappy Bird.

Når brukeren klikker på linken anmoder spillet brukeren om å godkjenne installasjonen.

Når det skjer installerer appen istedenfor en kompromert versjon av Gmail-appen som legger seg over den originale. Derfra opplades hele mailboksen til en server som hackere står bak.

Ifølge sikkerhets-selskapet finnes sårbarheten i IOS 7.1.1, 7.1.2, 8.0 og 8.1.1. beta.

Ifølge Fireeye skal ikke styresystemet sjekke validiteten av appens såkalte «identifier» som er en unik kode som er innebygget i hver app, og som styresystemet bruker til å identifisere appen.

For å unngå å bli rammet skal man først og fremst sørge for å laste ned apper fra appens egen app store eller fra kilder man har tillitt til. Fireeye anbefaler at man ikke skal klikke på pop up-beskjeder eller lignende som oppfordrer til å nedlaste fra en tredjeparts webside – uansett hvilke garantier som loves.

Du kan lese Fireeyes egen beskrivelse av problemet her.

Se videopresentasjonen her:

Kilder: omputerworld.dk og fireeye.com