Malware-aanval App Store: wat is er gebeurd en loop ik gevaar?
De App Store heeft het imago dat het een waterdicht systeem is. Toch is het hackers gelukt apps te infecteren met kwaadaardige software. Wat is er precies gebeurd en wat zijn de gevolgen voor Nederlandse gebruikers?
Toen Apple in 2008 de App Store introduceerde, was direct duidelijk dat ontwikkelaars niet zomaar hun apps daarin konden plaatsen. Alle apps worden gekeurd voordat ze een plekje kregen, onder meer om te voorkomen dat apps kwaadaardige code bevatten.
Maar nu is het toch gebeurd. Minstens 95 apps die via de App Store waren te downloaden, bleken kwaadaardige code te bevatten. Ze sluisden gegevens van hun gebruikers door naar servers van de aanvallers; zo lazen ze het klembord uit en maakten ze valse schermen aan, waarin gebruikers inloggegevens moesten invoeren.
Het bijzondere aan deze aanval is dat de geïnfecteerde apps zelf legitiem waren: aanvallers hebben eigen code weten te injecteren. Het gaat onder meer om WeChat, een in China populaire chatdienst. Ook veel andere getroffen apps waren gericht op Chinezen, waaronder een internetbankieren-app. Maar ook WinZip, waarmee .zip-bestanden kunnen worden geopend, is getroffen.
Software om apps te bouwen gemanipuleerd
Programmeurs gebruiken speciale software om applicaties te bouwen. Voor iPhones en iPads gebruiken ze Xcode, een softwarepakket van Apple. Normaliter werkt dat pakket prima, maar de aanvallers hebben hun eigen, gemanipuleerde versie van Xcode verspreid. De software werd via een niet-officiële bron aangeboden, maar mogelijk hebben ontwikkelaars voor die bron gekozen omdat de officiële bron langzamer was - in China zijn internetverbindingen naar het buitenland vaak traag.
Wanneer ontwikkelaars de gemanipuleerde versie gebruikten om een app te bouwen, werd bij het maken van de app een module gemanipuleerd. Daardoor kwam code van de aanvallers terecht in de uiteindelijke app, zonder dat de ontwikkelaar dat merkte.
En, wellicht ernstiger, zonder dat Apple het merkte. Het reviewproces van de App Store faalde op dit punt: de reviewers merkten niet op dat de applicaties ongewenst gedrag vertoonden. En het ging niet één keer fout, maar minstens vijftig keer. Hoe dat heeft kunnen gebeuren, is nog onduidelijk: Apple is niet bereikbaar voor commentaar.
Het is niet de eerste keer dat er kwaadaardige software in de App Store staat: dat is voor zover bekend vijf keer eerder gebeurd. Maar nog nooit zijn er in één keer zoveel apps aangetroffen die kwaadaardige software bevatten.
Kleine impact voor Nederlanders
Hoeveel iOS-gebruikers slachtoffer zijn geworden is onbekend. Een aantal apps in het lijstje van Palo Alto Network zijn wel in de Nederlandse App Store te vinden, maar het gaat veelal om onbekendere apps. Dat maakt de kans op Nederlandse slachtoffers al een stuk kleiner. Wie een van de apps wel op zijn apparaat heeft staan, kan hem beter verwijderen.
Mogelijk duiken echter nog meer apps op die getroffen zijn. Tot nu toe zijn vijftig geïnfecteerde apps aangetroffen, maar het is mogelijk dat er nog gemanipuleerde apps onopgemerkt zijn gebleven.