Apple a désormais bloqué le lancement des applications Mac infectées par le malware WireLurker, après avoir révoqué les certificats de sécurité pour empêcher leur installation sur de nouveaux appareils. WireLurker était capable d’infecter des appareils iOS non jailbreakés lorsqu’ils étaient connectés à un Mac exécutant l’une des applications compromises. Plus de 400 applications Mac dans une boutique d’applications chinoise tierce ont été affectées.
Dans une déclaration écrite, un porte-parole d’Apple a déclaré :
Nous avons connaissance de l’existence d’un logiciel malveillant disponible sur un site de téléchargement destiné aux utilisateurs en Chine. Nous avons bloqué les applications identifiées pour empêcher leur lancement. Comme toujours, nous recommandons aux utilisateurs de télécharger et d’installer des logiciels provenant de sources fiables.
Cependant, un chercheur en sécurité affirme qu’il serait facile pour d’autres attaquants d’exploiter exactement la même faiblesse…
Jonathan Zdziarski a répondu à Palo Alto Networks papier blanc avec un article de blog dans lequel il soutient que même si WireLurker était facile à bloquer, cela pourrait ne pas être vrai pour d’autres attaques utilisant la même approche.
Le problème le plus important ici n’est pas WireLurker lui-même ; WireLurker semble en être à ses débuts et consiste principalement en une collection de scripts, de listes de propriétés et de binaires, tous collés ensemble sur le bureau, ce qui le rend facile à détecter. Le véritable problème est que la conception du mécanisme d’appairage d’iOS permet d’utiliser facilement des variantes plus sophistiquées de cette approche (…)
Bien que WireLurker semble assez amateur, une NSA ou un GCHQ, ou tout autre attaquant sophistiqué, pourrait facilement intégrer une attaque beaucoup plus efficace (et dangereuse) comme celle-ci.
Le problème, explique-t-il, réside dans l’étendue des pouvoirs accordés aux appareils de confiance. Une fois que vous avez couplé un iPhone et un Mac, par exemple, et que vous avez accepté que chacun d’eux devienne un appareil de confiance, il n’y a pratiquement aucune limite à ce que le Mac peut faire à l’iPhone. Zdziarski estime qu’Apple devrait prendre trois mesures simples pour réduire les risques.
Tout d’abord, dit-il, les utilisateurs doivent être avertis de manière beaucoup plus précise des dangers liés à l’installation d’applications non signées. À l’heure actuelle, une simple invite OK suffit à un Mac pour installer une nouvelle application sur un appareil iOS.
Deuxièmement, Apple devrait désactiver le mode Entreprise par défaut. Le mode Entreprise est destiné à permettre aux entreprises de déployer facilement des logiciels sur mesure sur les appareils iOS, mais une fonctionnalité utilisée par une petite minorité d’utilisateurs met tout le monde en danger.
La grande majorité des utilisateurs non professionnels n’auront jamais besoin d’installer une seule application d’entreprise, et toute tentative en ce sens devrait échouer. Alors pourquoi Apple ne bloque-t-il pas cette capacité à moins qu’elle ne soit explicitement activée (par) un interrupteur dans les paramètres.
Troisièmement, les applications Mac devraient demander à l’utilisateur l’autorisation d’installer des logiciels sur les appareils iOS, seuls iTunes et Xcode bénéficiant de l’autorisation par défaut.
Apple devrait gérer l’accès aux « relations de jumelage de confiance » avec les appareils de la même manière qu’elle gère les autorisations d’accès aux contacts et à la géolocalisation. Une application devrait demander l’autorisation d’accéder à ces données privilégiées.
Le blog entre également dans des détails plus techniques sur les mesures supplémentaires qu’Apple pourrait prendre, mais celles mentionnées ci-dessus seraient, selon lui, faciles à mettre en œuvre.
FTC : Nous utilisons des liens d’affiliation automatiques générant des revenus. Plus.