“Telecomprovider betrokken bij zeroday-aanval tegen iPhone-gebruikers”

IPhone-gebruikers zijn afgelopen december het doelwit van een zeroday-aanval geworden waarbij aanvallers samenwerkten met een telecomprovider en er gebruik werd gemaakt van een malafide Vodafone-app, zo laat Google weten. De telecomprovider van het doelwit werd door de aanvallers gevraagd om de mobiele dataverbinding uit te schakelen. Vervolgens stuurden de aanvallers een sms-bericht naar het doelwit waarin werd gesteld dat de gelinkte Vodafone-app geïnstalleerd moest worden om de dataverbinding te herstellen.

De malafide-app bevond zich niet in de Apple App Store, maar kon door middel van een enterprise-certificaat worden gesideload. Deze certificaten zijn voor driehonderd dollar bij Apple verkrijgbaar en zorgen ervoor dat iOS-apps buiten de controle van de App Store op iPhones zijn te installeren. “We begrijpen dat het Enterprise ontwikkelaarsprogramma is bedoeld voor bedrijven om “vertrouwde apps” onder de iOS-apparatuur van hun personeel uit te rollen, is het in dit geval gebruikt om deze malafide provider-app te sideloaden”, zegt Ian Beer van Google Project Zero in een analyse.

De app bleek zes exploits te bevatten, waarvan vijf voor bekende kwetsbaarheden in oudere iOS-versies. Er was echter ook een exploit voor een onbekende kwetsbaarheid in IOMobileFrameBuffer toegevoegd waardoor het uitvoeren van code met kernelrechten mogelijk is. IOMobileFrameBuffer is een kernel-extensie waarmee ontwikkelaars kunnen bepalen hoe het systeemgeheugen wordt gebruikt voor de schermweergave. Via de app werden allerlei interesse bestanden van het besmette toestel gekopieerd, waaronder de WhatsApp-berichtendatabase. Apple verhielp het probleem (CVE-2021-30983) in iOS 15.2 en iPadOS 15.2 die op 13 december vorig jaar uitkwamen.

Android

Volgens Google waren de aanvallen gericht tegen gebruikers in Itali├ź en Kazachstan. Daarbij waren ook Android-gebruikers het doelwit. Hiervoor maakten de aanvallers echter geen gebruik van kwetsbaarheden, maar vroegen slachtoffers de zogenaamde malafide applicatie zelf te installeren. Ook bij de aanvallen tegen Androidgebruikers werd er samengewerkt met de telecomprovider van het slachtoffer en een sms verstuurd nadat de dataverbinding was uitgeschakeld, aldus Google.

Bron: Security.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

12Privacy.nl