Masque, la nouvelle attaque contre iOS
Après la menace WireLurker qui utilisait le Mac comme vecteur d’attaque pour s’en prendre aux appareils iOS afin d’y installer une application indésirable grâce à un certificat d’entreprise usurpé, voici Masque qui permet de réaliser une attaque similaire sur les appareils iOS, mais directement sur le web, sans avoir à compromettre un Mac via une application OS X infectée.
Connue sous le nom du Masque, cette attaque permet d’installer une application sur un appareil iOS sans avoir à passer par l’App Store, grâce aux fonctionnalités de déploiement d’applications en masse pour les entreprises.
Dans une vidéo de démonstration proposée par des chercheurs en sécurité, un lien est envoyé par message texte et propose l’installation d’un clone de Flappy Bird sans passer par l’App Store. Mais en réalité, c’est une fausse application qui est installée. Par exemple, l’application GMail dont l’icône et l’interface sont imitées, mais qui donne accès aux pirates à tout ce qui transite par l’application. Et l’utilisateur ne se rend bien sûr compte de rien.
Même si l’application ne peut imiter que les applications installées par l’App Store, et pas celles installées par défaut par Apple, cela laisse une belle marge. Mais une fois la vraie application remplacée par l’imitation, on imagine les conséquences en matière de données sensibles, par exemple dans le cas d’une application bancaire. Les fausses applications ont même accès aux données locales des applications légitimes qui sont imitées et remplacées.
Pour réaliser cette attaque, les pirates installent des certificats de sécurité falsifiés pour se passer de l’autorisation de l’App Store. Sous iOS 7, les utilisateurs peuvent aller dans Réglages>Général>Profils pour voir quels certificats sont installés. Mais sous iOS 8, ce n’est plus possible.
