Para peneliti di FireEye Mempublikasikan keberadaan Malware
Masque Attack, yang mengancam sistem operasi iOS dan Mac OS X.
Laporan mereka datang satu minggu setelah Palo Alto Networks melaporkan penemuannya dari
WireLurker.
Masque Attack mengeksploitasi kelemahan dalam OS Apple yang memungkinkan penggantian satu aplikasi dengan yang lain selama kedua aplikasi menggunakan identifier bundel yang sama.
Semua aplikasi, kecuali yang terinstal pada iOS, seperti Mobile Safari, bisa diganti. Aplikasi palsu dapat mengakses data lokal aplikasi asli, termasuk log-in token, ini memungkinkan penyerang masuk dan menjarah rekening bank korban.
Serangan dapat bekerja karena iOS tidak melalukan pencocokan sertifikat untuk aplikasi dengan identifier bundel yang sama.
Peneliti FireEye diverifikasi kerentanan pada perangkat iOS baik yang di jailbreak atau tidak pada iOS 7.1.1, 7.1.2, 8.0, 8.1 dan 8.1.1 beta. Penyerang dapat memanfaatkan kerentanan melalui jaringan nirkabel atau port USB.
"Karena semua perlindungan standar yang ada atau antarmuk Apple tidak dapat mencegah serangan seperti itu, kami meminta Apple untuk menyediakan antarmuka yang lebih kuat ke vendor keamanan profesional untuk melindungi pengguna perusahaan dari ini dan serangan canggih lainnya," kata peneliti FireEye Hui Xue, Tao Wei dan Yulong Zhang dalam posting blog.
Trik malware Masque Attack adalah dengan cara menyuruh korban menginstal aplikasi palsu berbahaya yang memiliki nama yang menarik seperti "New Angry Bird."
Pengguna yang terkena ketika mereka men-download aplikasi dari pihak ketiga, mengabaikan "Untrusted App" peringatan yang muncul ketika aplikasi tersebut dibuka, jailbreak perangkat iOS mereka - atau mengatur "gatekeeping" fitur pada mereka Mac untuk "Anywhere," meniadakan perlindungan.
WireLurker menggunakan bentuk terbatas dari Masque Attack untuk "memukul" perangkat iOS melalui port USB mereka, kata para peneliti FireEye itu.
Untuk menghindari malware seperti WireLurker atau Masker Attack, pengguna harus menahan diri dari menginstal aplikasi dari sumber selain App Store resmi atau app store organisasi mereka sendiri. Mereka tidak harus menginstal aplikasi dari halaman Web pihak ketiga. Selanjutnya, mereka harus mengklik "Jangan Percaya" dan segera menghapus sebuah aplikasi jika mereka melihat iOS "Untrusted App Developer" waspada.
Pengguna dapat memeriksa profil pengadaan perusahaan di iOS 7 perangkat mereka untuk melihat apakah aplikasi telah diinstal melalui Masque Attack. Namun, di iOS 8 tidak menunjukkan profil penyediaan aplikasi yang sudah diinstal, sehingga pengguna harus mengambil tindakan pencegahan ekstra. "Untuk WireLurker memberikan muatannya, pengguna harus menginstal aplikasi terpercaya pada Mac, karena Masker, pengguna iOS harus menginstal sebuah perusahaan penyediaan profil," kata Joe Abbey, direktur rekayasa perangkat lunak di Arxan.
Masque Attack ini sangat berbahaya di perusahaan yang memiliki kebijakan BYOD; TI tidak dapat membedakan aplikasi palsu dari yang asli karena keduanya menggunakan identifier bundel yang sama.
Selanjutnya, penyerang dapat menggunakan Masque Attack untuk memotong sandbox app dan mendapatkan hak akses root dengan menyerang kerentanan iOS diketahui.
"Yang paling membingungkan bagian dari vektor serangan ini adalah risiko dalam," kata Abbey Arxan itu, menambahkan bahwa orang dalam dapat menginstal aplikasi berbahaya tidak diketahui oleh pengguna akhir.
Pemilik perangkat BYOD harus "sangat mempertimbangkan pilihan untuk menonaktifkan penyediaan profil sampai Apple dapat mengatasi risiko ini," rekomendasinya.
Para peneliti FireEye menemukan Masque Attack pada bulan Juli dan diberitahu Apple mengenai hal ini, namun kata mereka Apple belum merespon.
WireLurker dan Masque Attack "adalah contoh lain dari kecanggihan dan otomatisasi serangan yang tumbuh tak terelakkan ke masa depan," Steve Hultquist, kepala penginjil di RedSeal, TechNewsWorld. Ini menyoroti kebutuhan untuk pencegahan proaktif otomatis.