Duizenden iOS-apps in App Store bevatten backdoor in advertentieplatform

Duizenden iOS-apps hebben een versie van een advertentieplatform ingebouwd, waarmee kwaadwillenden gegevens van iOS-gebruikers kunnen ontvreemden. Tot nu toe lijkt nog geen app gebruik te hebben gemaakt van de backdoor.

Het gaat voor zover bekend om 2846 apps, die de backdoor aan boord hebben door het gebruik van een oudere versie van advertentieplatform mobiSage van AdSage. Apps die gebruikmaken van de nieuwste versie van mobiSage, 7.0.5, hebben de backdoor niet. Van de 2846 apps hebben zo'n 900 contact gezocht met een AdSage-server, waardoor ze de mogelijkheid hadden om kwaadaardige code in te laden.

Door de backdoor kunnen kwaadwillenden audio opnemen, screenshots maken en, als de gebruiker dat had toegestaan, kwaadaardige apps sideloaden op iOS-apparaten. Dat kan vanwege de sandboxing van iOS alleen als de app actief is. Er is echter geen aanwijzing dat de backdoor echt is gebruikt. Beveiligingsbedrijf FireEye ontdekte de backdoor en heeft twee weken geleden Apple ingelicht.

De backdoor schuilt erin dat de oude versie van mobiSage het toestond dat apps van de server van AdSage willekeurige JavaScript-code konden downloaden en uitvoeren. Dat is ook de reden dat Apple de apps heeft toegelaten in de App Store. Hoewel de backdoor wel aanwezig was, bevatten de apps op moment van uitbrengen geen kwaadaardige code. Omdat er nog apps zijn die gebruikmaken van de oude mobiSage-versie, is het nog altijd mogelijk dat kwaadwillenden de backdoor gebruiken, zo schat het beveiligingsbedrijf in.

Dinsdag werd duidelijk dat ontwikkelaars info over een exploit hebben verkocht, waarmee het mogelijk is om een iOS-apparaat binnen te dringen via de browser. Doordat het gaat om een serie van zerodays, is het mogelijk aan de sandbox te ontsnappen en het apparaat geheel over te nemen.

Reacties (49)

Loller1

Tablets

4 november 2015 19:53

Ik veronderstel dat Apple al deze 2800+ apps uit de App Store gaat flikkeren?

orange.x @Loller1 • 4 november 2015 20:30

Uit de App Store halen is 1 ding, maar dan blijven de apps over het algemeen nog beschikbaar op de telefoons zelf. Of Apple moet een soort kill switch omhalen die van alle toestellen die apps ook verwijdert. Ik vraag me af of dat gebeurt of dat ze een andere mogelijkheid hebben om de werking van apps op afstand te blokkeren.

locke960 @orange.x • 4 november 2015 20:46

killswitch ? ik hoop dat ze niet zo dom zijn zoiets te hebben ingebouwd. Er is altijd de kans op misbruik en als je de killswitch een keer gebruikt levert dat geheid heel veel negatieve publiciteit op. De meeste mensen vinden het niet fijn als een bedrijf ongevraagd dingen kan verwijderen. Zie destijds Amazon die het boek 1984 van Orwell van alle Kindles verwijderde. En dan ook uitgerekend dat boek

Wat Apple zou moeten doen is iedereen die een dergelijke app geïnstalleerd heeft een email met het advies de app te verwijderen en hoe de klant vast kan stellen of zijn data gestolen is cq. of hij gehackt is.
Telefoonnummer van Apple support erbij voor het geval er vragen/problemen zijn en klaar.
Voor zover ik weet heeft Apple dit echter nog nooit gedaan.

Verwijderd @locke960 • 4 november 2015 21:39

Die zat er anders al in 2008 in:http://appleinsider.com/a...ed_iphone_app_kill_switch.
Verder heb ik in de tijd dat ik nog een iPod Touch had (iOS 3.x en iOS 4.x) met de tweak SBSettings de mogelijkheid om de Apple kill switch uit te schakelen.

Overigens kan het inbouwen van een kill switch best een voordeel hebben als er een écht malafide app in de omloop is; eentje die het presteert om ondanks alle beveiligingsmaatregelen een bank app weet te manipuleren bijvoorbeeld. Ik wed dat als dat in het nieuws komt de wereld te klein wordt als Apple hier niets aan zou kunnen doen.
De kans op misbruik is vrij klein trouwens. Niet elke willekeurige helpdeskmedewerker krijgt toegang tot zo'n kritieke functie

ronaldmathies @locke960 • 4 november 2015 21:49

Zowel iOS als Android hebben deze kill switch, bij Apple / iOS is deze nog nooit gebruikt. Bij Android is het bij mijn weten 1 keer gebruikt:

http://phandroid.com/2010...ove-apps-from-your-phone/
http://gizmodo.com/557251...ones-for-security-reasons

Eitot @locke960 • 4 november 2015 22:08

killswitch ? ik hoop dat ze niet zo dom zijn zoiets te hebben ingebouwd. Er is altijd de kans op misbruik en als je de killswitch een keer gebruikt levert dat geheid heel veel negatieve publiciteit op. De meeste mensen vinden het niet fijn als een bedrijf ongevraagd dingen kan verwijderen.

iOS heeft inderdaad een kill-switch/blacklist, al sinds de iPhone 3G (bron). Bij mijn weten is deze nog nooit gebruikt. Android heeft er trouwens ook een, wat al sinds 2008 uit Google’s gebruiksvoorwaarden kan worden opgemaakt (bron).

[Reactie gewijzigd door Eitot op 23 juli 2024 18:15]

Gamebuster @orange.x • 4 november 2015 20:42

Totdat die apps daadwerkelijk verdwijnen en iedereen moord en brand schreeuwt naar Apple omdat jouw favoriete app ertussen zit

Zezura @orange.x • 5 november 2015 00:08

Je iPhone maakt regelmatig contact met Apple en haalt een lijst op van blacklist apps. Dus ik ga er van uit dat Apple idd een killswitch heeft ingebouwd maar of de app niet meer werkt of wordt verwijdert weet ik niet.

Ik dacht dat die lijst over http(s) werdt verkregen.

rogier1974 @orange.x • 5 november 2015 08:09

Misschien dat bij een volgende synchronisatie van je iTunes deze apps verwijderd worden. Heb je voor deze apps betaald, dan zouden ze eigenlijk moeten compenseren.

blorf @Loller1 • 4 november 2015 20:11

Ik denk dat straks zonder uitleg die backdoor uit dat advertentieplatform verdwijnt en die apps gewoon beschikbaar blijven.

Aham brahmasmi @blorf • 4 november 2015 21:23

Ik denk niet dat dat kan zonder de apps te updaten, wat bij mijn weten nooit geforceerd wordt.

calvin @Aham brahmasmi • 4 november 2015 21:46

Wel als ze bijvoorbeeld op een platform als IBM Worklight gebouwd zijn. Dan kun je bepaalde versies blokkeren en verplicht laten updaten

Deralte @Loller1 • 4 november 2015 19:56

Ik reken er op.

Dark Angel 58 @Loller1 • 5 november 2015 10:24

of ze kunnen de server van AdSage neerhalen!

Blaise 4 november 2015 20:18

Door de backdoor kunnen kwaadwillenden audio opnemen, screenshots maken en, als de gebruiker dat had toegestaan, kwaadaardige apps sideloaden op iOS-apparaten.

Dat klinkt ernstiger dan het is. De malware kan alleen audio opnemen als je dat als gebruiker hebt toegestaan. De malware kan alleen een screenshot maken van de app zelf. Je kan ook niet zomaar een app sideloaden op een iOS apparaat, dat staat Apple helemaal niet toe (anders zou iedereen massaal apps als PopcornTime, porn apps en torrent clients porten en sideloaden). Je kan wel naar de app store linken en hopen dat iemand dan op download klikt.

[Reactie gewijzigd door Blaise op 23 juli 2024 18:15]

eternia16 @Blaise • 4 november 2015 20:41

Je kunt sinds xcode 7 iOS apps sideloaden.

Blaise @eternia16 • 4 november 2015 21:39

Ja het kan, maar dan moet je Xcode downloaden, zelf de app signen met je eigen Apple account en de app compileren van de broncode. En dat kan alleen op Mac OS. Dus niet zo makkelijk als dit artikel wil doen geloven, en zeker niet per ongeluk als onderdeel van een virus.

eternia16 @Blaise • 4 november 2015 21:58

Injecteren in een emulator en/of een andere populaire app die niet mag op de app store en dan heb je al een aardige markt om mee aan de slag te gaan.

Eitot @eternia16 • 4 november 2015 21:56

Met Xcode, ja. Maar dan heb je toegang tot externe hardware nodig, moet je vooraf expliciet toestemming geven om überhaupt met de computer te kunnen verbinden en moet je de ID van de ontwikkelaar onder Instellingen > Algemeen > Profielen activeren. Ik veronderstel dat het hier (weer) via bedrijfscertificaten en -netwerkprofielen gaat. De app laadt in dat geval een URL naar een netwerkprofiel die aan de gebruiker een installatiescherm presenteert. Keurt een gebruiker dat goed, kunnen door de profielbeheerder programma’s worden geïnstalleerd die met het bedrijfscertificaat zijn gesigneerd.

Jefrey Lijffijt 4 november 2015 21:09

Er zijn meer dan een miljoen apps, veel zijn automatisch gegenereerd en worden door niemand gebruikt. Dat er 2800 apps een probleem hebben zegt dus niets. Iemand die weet hoeveel iOS gebruikers dit daadwerkelijk zou kunnen treffen?

Verwijderd @Jefrey Lijffijt • 4 november 2015 23:36

Ja precies, een app als WhatsApp heeft meer gebruikers dan 10.000 kleinere apps bij elkaar. Als je 2800 van die background apps pakt die praktisch niemand ooit koopt is het maar een heel erg klein publiek.

Sowieso, dit probleem zit blijkbaar in een ad-network. Ik heb geen apps met reclame op mijn telefoon staan (ik betaal liever $1,99 dan al die reclame, je koopt een telefoon van $600+, die 50 a 60 dollar aan apps kan er ook nog wel vanaf), dus het probleem zou mij niet eens moeten raken.

Dit leert wel weer eens voorzichtig te zijn met permissies, WhatsApp heeft bij mij bijv. geen toegang tot mijn microfoon, ik gebruik die feature toch niet. Facebook heeft toegang tot, niets..... (die toko wil toegang tot mijn agenda om deze compleet te kunnen binnenhalen, leuk idee, not). Zit deze feature ondertussen al in Android of moet je nog steeds akkoord gaan met alles, of de app niet kunnen gebruiken?

Tjolk @Verwijderd • 5 november 2015 16:33

Zit al sinds 4.3 (zomer 2013) in Android (destijds via App Ops), alleen niet in de meeste Google versies van Android. Maar via AOSP en bijvoorbeeld CyanogenMOD en -ik meen- de versie van Huawei is het wel standaard beschikbaar

Sinds 6.0 zit het weer zichtbaar in Google Android en daarmee ook de meeste oem-versies. Bovendien wordt nu bij het eerste gebruik van een permissie je akkoord gevraagd. Als jij geen akkoord geeft, betekent dit slechts dat je dat ene onderdeel wat die permissie nodig heeft (bijvoorbeeld microfoon bij WhatsApp) niet kunt gebruiken.

John Duh 4 november 2015 20:38

In dit soort gevallen is verstandig om openheid van zaken te geven, bij voorkeur inclusief een complete lijst met de apps waar het om gaat. Hiermee worden allerlei Indianenverhalen in de kiem gesmoord en wordt de reputatieschade tot een minimum beperkt. Mede door dit laatste, verwacht ik dat dit snel gebeurt. Zelf maak ik mij, als iOS gebruiker, echter geen zorgen.

Dacuuu 4 november 2015 21:14

En weer een moment dat ik blij ben met mijn raspberry pi als adblock dns server. Adblocking voor heel je LAN. En wees gerust, je kan ook site whitelisten. Het is me toch gaak met die advertentie platformen. Keer op keer komt het bericht terug.

StGermain 4 november 2015 21:18

Helaas kijkt de doorsnee burger je aan als een koe die voor de eerste keer een trein ziet passeren wanneer je zegt dat privacy online niet gegarandeerd is wat je ook doet.

Het is hoog tijd dat er internationaal zware straffen komen op het inbouwen van backdoors.

mutley69 4 november 2015 21:28

Apple is niet beter/slechter dan de rest - dat lijkt me zowat de conclusie te zijn - om daar dan 30% premium voor neer te dokken, tja... Mooi verpakt, leuke verkoopppraatjes - bij mij pakt dat dus niet. En ja ook Google en Microsoft worden buitengehouden.

Verwijderd @mutley69 • 4 november 2015 21:40

Dit gaat volgens mij over een probleem met een advertentieplatform, niet een probleem in iOS. Probleem is dat, als je een applicatie toestemming geeft voor bepaalde dingen, en die applicatie geen controle houdt over welke code er uitgevoerd hebt, er een probleem is. Dit is dus uiteraard een applicatieprobleem, uiteindelijk.

iOS is uiteraard een stuk beter beveiligd dan Android, dat lijkt me erg evident. Wat je ziet is dat er héél veel focus is op het ontdekken van beveiligingslekken op iOS, en dat is uiteindelijk goed, zeker omdat de updates van iOS heel vlot uitgerold worden. Androïd is wordt door niemand meer vertrouwd, zeker niet meer door bedrijven. En als iets als gefixed wordt, weet je nooit wanneer je het krijgt.

Garret1410

Apple iPhone 6

@Verwijderd • 5 november 2015 07:43

Ik zou denken dat er op Android veel meer focus ligt aangezien dit 80% marktaandeel heeft.

Ik geloof best dat iOS ansich beter beveiligd is vanwege de closed source structuur maar uiteindelijk is niets 100% veilig.

En het is makkelijk om te zeggen dat dit niets met iOS te maken heeft maar het advertentieplatform maar dat komt een beetje fanboy achtig over. Zou dit Android overkomen dan zou er schande over Android gesproken worden.

Uiteindelijk gaat het erom dat dit lek opgelost wordt.

svane @Garret1410 • 5 november 2015 11:23

Dit is (of was) ook mogelijk op Android. http://blog.iseclab.org/2...ng-techniques-in-android/

Wat er in principe gebeurt, is dat app-ontwikkelaars onveilige 3rd party code in hun app stoppen. De gebruiker geeft (bijvoorbeeld) vervolgens toestemming aan de app om foto's in te zien, deze foto's kunnen dan weer naar kwaadwillende gestuurd worden (via onveilige code van het advertentie-netwerk). Dit schuld ligt wat mij betreft vooral bij de app-ontwikkelaar en het advertentie-netwerk. Apple kan lastig het verschil zien tussen een foto die naar kwaadwillende wordt gestuurd, en een foto die in de Dropbox app naar een Dropbox server wordt gestuurd.

Probook8979 @Verwijderd • 4 november 2015 23:27

Tenzij je de Nexus lijn hebt. Die wordt altijd wel vnoorzieb van updates.

Verwijderd @Verwijderd • 4 november 2015 23:42

De telefoons uit de hand van Google zelf worden wel goed geüpdate, neemt niet weg dat het gros van de mensen goedkope Huawei en andere budget telefoons koopt en vervolgens nooit deze security updates ontvangt. Android is inherent dus misschien niet onveiliger dan iOS, maar in de praktijk zeker wel. Het vervelende is ook gewoon, wat er op een Huawei gebeurt met Android wordt door de kudde digibeten gewoon gezien als probleem bij alle Android telefoons.

(Het mooiste is overigens nog, mensen die een 100 euro telefoon kopen en dan klagen dat het minder goed werkt dan een iPhone. Toegegeven, ik ben erg blij met mijn iPhone, maar als je deze naast een degelijke Android phone legt is het verschil niet groot en dan komt het gewoon aan op welk OS je voorkeur heeft.)

PKHS 4 november 2015 19:50

Ik ga m'n Nokia 100 weer opstarten.

Matthijz98 @PKHS • 4 november 2015 19:52

lijkt me een goed idee.
Hoe minder en op zit hoe minder er fout kan gaan.

PoJa84 @PKHS • 4 november 2015 20:11

Slim. Waarschijnlijk hoef je de accu niet eens op te laden voor de eerste week

joremkes @PKHS • 4 november 2015 20:12

Ik snap je punt, maar neem maar van mij aan, als de hele wereld dit doet en de hacking community zich op deze devices stort, dan komt er ook genoeg ellende naar boven.

Carlos0_0

Apple iPhone
Apple
Smartphones

@PKHS • 4 november 2015 22:39

niks mis mee weer eens leven buiten zonder internet, ik heb zelf laatst vorige week ook gedaan alleen thuis op de WiFi.

Je zult verstelt staan hoe erg mensen aan scherm geplakt zitten, overal waar je kijkt zie je mensen wat ze ook aan doen zijn op dat scherm aan kijken zijn de hele tijd.
En ik moet zeggen geeft ook een heerlijke rust, niet de hele tijd overal bereikbaar zijn weer voor ieder berichtje enzo.

Mrjraider 4 november 2015 20:38

Ach tegenwoordig ben je nergens meer veilig. Op straat kan je lastig en aangevallen worden. Internet staat bol van malware en privacy schendende bedrijven en tenslotte zijn Android en iOS (BB en WP waarschijnlijk ook) zo lek als een zeef.
Persoonlijk kijk ik nergens meer van op...

Soldaatje @Mrjraider • 5 november 2015 00:05

Ik ben nog nooit aangevallen op straat.

batjes @Soldaatje • 5 november 2015 07:15

Moet je wel voor buiten komen natuurlijk

Titan_Fox 5 november 2015 01:31

En adverteerders maar klagen dat steeds meer mensen advertenties blokkeren...

KiDoNL @Titan_Fox • 5 november 2015 20:12

Dit dus. Alhoewel er genoeg methoden voor ze zijn om het veiliger aan te pakken, kiezen ze toch vaak voor de makkelijke route. Die makkelijke route zorgt er dus niet alleen voor dat advertenties vaak ontzettend irritant zijn, maar dus ook dat consumenten onwillens blootgesteld worden aan dit soort geintjes.

Op dit item kan niet meer gereageerd worden.

Duizenden iOS-apps in App Store bevatten backdoor in advertentieplatform

Lees meer

Reacties (49)

Sorteer op:

Weergave: