Apple bagatelliseert lek in iOS

Dat laat het bedrijf donderdagnacht (Nederlandse tijd) weten in een reactie aan Amerikaanse media.

Door het zogeheten Masque Attack-lek kan een hacker via een link in bijvoorbeeld een e-mail een malafide app presenteren als een update voor een officiële al geïnstalleerde app.

De nieuwe applicatie met bijvoorbeeld malware heeft dan dezelfde naam waardoor hij betrouwbaar lijkt. De apps worden overigens niet verspreid via de officiële App Store, maar moeten handmatig via bijvoorbeeld een link worden geïnstalleerd.

Apple stelt dan ook dat gebruikers gewaarschuwd worden voor ze slachtoffer kunnen worden van Masque Attack. “We zijn ons niet bewust van klanten die daadwerkelijk getroffen zijn door deze aanval”, aldus het bedrijf.




Waarschuwing


“We raden mensen aan alleen apps te downloaden uit betrouwbare bronnen zoals de App Store en op te letten als er een waarschuwing wordt gegeven.”

In de pop-up, die Apple standaard toont als apps uit een andere bron worden gedownload, wordt bij de malafide app de naam weergegeven van de app die het wil nadoen. Critici stellen dat het risico dat de gebruiker de app alsnog installeert daardoor groter wordt.




Bundle ID


De kwetsbaarheid zit hem volgens beveiligingsbedrijf Fire Eye, dat het lek ontdekte, in het feit dat iOS niet controleert of apps met dezelfde zogeheten Bundle ID ook hetzelfde certificaat gebruiken.

Een nepapp met hetzelfde Bundle ID als een officiële app wordt daarom automatisch als nieuwe versie van de legitieme app gezien en daar overheen gezet. De kans is dan groot dat de gebruiker na installatie de app ook daadwerkelijk opent.

De Amerikaanse overheid waarschuwde eerder deze week al voor het lek en adviseerde mensen toen ook geen apps uit andere bronnen te installeren.

This entry was posted in tech. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>