Een groep hackers afkomstig uit China maakte gebruik van app-testcertificeringen, gratis uitgegeven door Apple, om onwettige apps te installeren met behulp van een sideloading-techniek.
Volgens onderzoekers van Palo Alto Networks is de Chinese app in de Apple App Store gebruikt om illegale apps te installeren op iOS-apparaten die niet eens gejailbreakt zijn. Onwettige apps worden meestal gedownload en gehost op gejailbreakte apparaten (of “geroot” in het geval van Android-telefoons).
De nieuwe iOS-functie die door Chinese ontwikkelaars werd misbruikt, stelde hen in staat om gratis certificaten voor het ondertekenen van code te verkrijgen om mobiele apps te implementeren en te testen. Omdat alle door Apple gebouwde apparaten volgens het bedrijf intrinsiek veilig zijn, is er een gebrek aan anti-malwaretools voor het iOS-ecosysteem.
Apple schept op over zijn veilige platform, behalve iOS-apparaten die gejailbreakt zijn. Voor iPhone-modellen die helemaal niet gejailbreakt zijn, zijn apps die niet uit je vertrouwde app store komen, zoals de Apple App Store, om veiligheidsredenen niet welkom. Maar apps die de beveiligingsbarrière overschrijden, moeten eerst worden doorgelicht door het beveiligingsteam van Apple.
Code-ondertekeningscertificaten daarentegen zijn alternatieve hulpmiddelen voor ontwikkelaars om apps naar iPhones en iPads te distribueren zonder ze in de Apple App Store te hoeven publiceren. Chinese ontwikkelaars misbruikten deze certificaten om kwaadaardige apps te installeren op niet-gejailbreakte Apple-apparaten.
In het verleden is echter een vergelijkbare methode gebruikt om malware op iOS-telefoons te hosten. De nieuwste Chinese app in de Apple App Store heet ZergHelper of XY Helper. De kwaadaardige mobiele app werd ook gebruikt om te knoeien met nieuw uitgebrachte persoonlijke ontwikkelingscertificaten die ook dienst doen als certificaten voor het ondertekenen van codes. Persoonlijke ontwikkelingscertificaten werden samen met Xcode 7 vrijgegeven.
Soms worden ontwikkelaars gedwongen om Xcode 7 te gebruiken om hun apps te testen door ze op hun apparaten uit te voeren zonder ze al in de Apple App Store te publiceren. En dat is gratis, terwijl het inschrijvingsproces voor het Apple Developer Program hen $ 99 per jaar kost.
Ontwikkelaars van mobiele apps moeten Xcode uitvoeren op hun mobiele apparaat dat is aangesloten op een computer om persoonlijke ontwikkelingscertificaten te genereren. De ontwikkelaars van de ZergHelper-app leken de geheime methode voor het verkrijgen van Apple-certificaten te hebben gekraakt.
Het is belangrijk op te merken dat de ZergHelper-app op geen enkele manier malware is, maar dat de hier gebruikte methode toekomstige aanvallen op iOS-apparaten mogelijk zou kunnen maken.
