De recentelijk bekend geworden Wirelurker-malware maakt gebruik van een lek in iOS dat veel grotere veiligheidsrisico's met zich meebrengt.

Dat stelt het Amerikaanse beveiligingsbedrijf Fireeye, dat de kwetsbaarheid Masque Attack noemt.

De zwakte, die zowel in iOS 7 als 8 aanwezig zou zijn, maakt het mogelijk om vrijwel iedere app te vervangen door een identiek ogende versie waaraan malware is toegevoegd. Alleen de standaard geïnstalleerde apps van Apple zelf zouden buiten schot vallen.

De iOS-apparaten hoeven hiervoor niet eerst via usb met een Mac- of Windows-apparaat verbonden te worden, omdat de besmetting binnen iOS zelf kan plaatsvinden, bijvoorbeeld via een link in een e-mail.

Fireeye laat zien dat het zo mogelijk wordt om een neppe Gmail-app te vermommen onder een andere naam, zoals 'New Flappy Bird', waarna deze app de echte Gmail voor iOS vervangt.

Waarschuwing

Wanneer gebruikers vervolgens de nepapp gebruiken, kunnen de makers van de meegeleverde malware alle opgevraagde of ingevoerde gegevens naar een eigen server sluizen.

iOS-gebruikers ontvangen vooraf wel een waarschuwing, omdat Apple signaleert dat de app uit een vreemde bron afkomstig is, in plaats van uit de officiële App Store.

iOS vraagt daarom eerst om expliciete toestemming. In dat verzoek staat dan wel een gefabriceerde appnaam, wat het risico zou vergroten dat gebruikers de app alsnog installeren.

'Veel gevaarlijker'

Het vervangen van de app is volgens Fireeye mogelijk omdat Apple niet controleert of apps met dezelfde zogeheten Bundle ID ook hetzelfde certificaat gebruiken. Een nepapp met een Bundle ID gelijk aan dat van een officiële applicatie, wordt daardoor als een nieuwe versie van die app beschouwd.

Wirelurker zou op eenzelfde manier officiële apps met malware hebben vervangen, maar Masque Attack is volgens Fireeye gevaarlijker, omdat de infectie van Wirelurker enkel via een laptop of desktop-pc mogelijk was.

Het bedrijf zegt Apple op 26 juli al op de hoogte te hebben gebracht van de kwetsbaarheid. Apple zelf heeft officieel nog niet gereageerd op het bestaan van Masque Attack. Toen het nieuws over de Wirelurker-malware begin november bekend werd, nam Apple een dag later maatregelen.

Fireye adviseert iOS 7- en 8-gebruikers om ondertussen geen apps van derde partijen te installeren. 

De drie dingen die nodig zijn om cybercrime te bestrijden