Trend Micro avslöjade idag ett nytt allvarligt skadeprogram som har börjat drabba IOS-användare den senaste tiden. Den har fått namnet Xagent, och kräver inte att offret har en jailbreakad Iphone eller Ipad.

Däremot kräver Xagent mer än bara ett klick på en länk som många liknande attacker mot Windows och Android (och i några få fall även OS X).

Det gör det väldigt enkelt för dig att skydda dig mot attacken, så länge du vet vad du ska se upp för.


Denna artikel uppdaterades 5/2 2015 med information om nya Xagent.


Vad kan Xagent göra?

Om du släpper igenom Xagent kan appen göra rejäl skada. Den kan läsa dina kontakter och kalendrar, komma åt alla meddelanden och bilder, samla in gps-data, spela in alla ljud via mikrofonen och se vilka appar som finns installerade och är igång.

Skadeprogrammet fungerar fullt ut på IOS 7 där dess ikon döljs och det kör konstant i bakgrunden även om du tvångsavslutar det på en jailbreakad enhet. I IOS 8 visas ikonen och användaren måste själv köra igång appen efter en omstart, vilket gör att Trend Micro gissar att det utvecklades för IOS 7.

Missa inte: Guide: Kom igång med Apple TV - och lös strul och problem

Så skyddar du dig

Både OS X och iOS begränsar program och appar till de som har signerats av Apple för App Store. Det går också att installera andra program om dessa har signerats av någon annan (till exempel din arbetsgivare), och på OS X kan du stänga av detta skydd helt för att kunna köra andra osignerade program.

Med IOS går det inte att installera osignerade appar om du inte har jailbreakat, och om det inte kommer från din arbetsgivare (eller om du är betatestare åt någon utvecklare) finns det ingen orsak att godkänna några appar med självsignering (sådana som installerar en provisioning profile för att kunna köra). Håll dig till App Store så är du helt säker från såväl nya Xagent som skadeprogrammen Wirelurker och Masque Attack som dök upp i höstas (och alla andra attacker som hittills har drabbat plattformen).

Enterprise provisioning installation

Dialogrutan du får upp när du klickar på en länk som leder till en självsignerad app ser ut som på bilden här ovan. På engelska står det: ”[sajt/utvecklare] would like to install [appnamn]”. På svenska: ”[sajt/utvecklare] vill installera [appnamn]”. Om du inte verkligen litar på utvecklaren ska du välja Cancel/Avbryt.

Om du har råkat trycka på Installera är det dock inte helt kört än, i alla fall inte på IOS 8 där du måste köra appen också. Innan den får köras kommer det nämligen upp ytterligare en dialogruta.

Enterprise provisioning run

Så här står det i den. På engelska: Untrusted App Developer – Do you trust the developer ”[utvecklare]” to run apps on your Iphone?” På svenska: ”Ej betrodd apputvecklare – Litar du på utvecklaren ”[utvecklare]” så att denna får köra appar på din Iphone?”

Här ska du självklart välja Don’t trust/Lita inte på.

Det är i skrivande stund osäkert om den här andra dialogrutan alls dyker upp om du råkar installera Xagent på en Iphone eller Ipad med IOS 7, så kör du det systemet bör du vara extra uppmärksam på dialogrutor som kommer upp och aldrig trycka Installera på något du inte är 100 procent säker på.

Det här är bara ett i raden av nyligen upptäckta säkerhetshot som drabbar IOS, och alla använder samma metod för att försöka lura sig in i telefonen. I slutet av oktober upptäcktes ett nytt avancerat skadeprogram kallat Wirelurker som infekterade hundratusentals användare i Kina. Ett par veckor senare dök ett nytt hot upp, kallat Masque Attack, där hackare fick ett sätt att installera fejkade uppdateringar av appar på IOS som därmed kunde börja stjäla användarnas uppgifter.

Wirelurker

De kinesiska användare som drabbades av Wirelurker hade alla det gemensamt att de hade laddat ner program för Macen från en alternativ butik till Mac App Store i Kina. Ett stort antal program visade sig vara infekterade med den skadliga koden, som sedan infekterade alla IOS-enheter som kopplades in i den Macen.

Jailbreakade enheter var extra känsliga eftersom inget extra krävs för att installera appar som inte har signerats av Apple, men även icke jailbreakade enheter infekterades genom att utnyttja en så kallad provisioning profile, en kodsignatur som vanligtvis används av företag för att installera sina egna appar som bara används inom företaget på de anställdas enheter. Det är alltså i grunden ett legitimt sätt att komma runt kravet att alla appar måste komma från Apples App Store.

Apple blockade snabbt Macprogrammen med den skadliga koden från att köra, och drog tillbaka profilen som användes för att sprida koden till IOS-enheter utan jailbreak.

IOS installerar okänd app
Om du klickar på en länk som leder till en app utanför App Store får du upp en sån här dialogruta. Klicka aldrig på installera om du inte helt litar på källan (till exempel din arbetsgivare).

Masque Attack
Den här attacken utnyttjar också provisioning profiles men även en bugg i IOS. Systemet dubbelkollar nämligen inte att appars signaturer stämmer med den signatur de hade när de först installerades, och hackarna bakom Masque Attack kom på att det därmed går att installera en app som utger sig för att vara en annan. Användare som godkänner den skadliga appen (vilket installerar en provisioning profile) märker inte att appen i själva verket ersätter till exempel Gmail-appen. Med en välgjord kopia kan användare luras att skicka känsliga loginuppgifter och annat till hackarna.

Buggen som gör att app-certifikaten inte dubbelkollas kommer säkert fixas av Apple, men även dessförinnan kan attacken inte genomföras utan att du som användare manuellt godkänner installationen av appen.

GatekeeperGatekeeper ser till att inga tredjepartsprogram som inte har signerats av en känd utvecklare kan köras.

Apples extra skydd för Macanvändare
Även om du måste installera osignerade tredjepartsprogram och i värsta fall drabbas av ett snabbspritt skadeprogram på Macen kan Apple faktiskt hjälpa till. När ett hot upptäcks lägger företaget till det i ett system som kallas Xprotect. Det gör att din Mac, så länge du har en internetuppkoppling, kort därefter kommer blockera det programmet från att köras.

Xprotect
OS X inbyggda skydd mot skadeprogram, Xprotect, säger ifrån om du råkar ladda ner eller försöker köra ett program som har svartlistats.

Xprotect har visat sig vara ett väldigt effektivt skydd för att vara så enkelt. Det fungerar som ett mycket rudimentärt antivirusprogram och kan till exempel varken skanna av hårddisken eller kontrollera kod i program som är igång. Trots det har det hjälpt till att snabbt sätta p för de få allvarliga hot som har dykt upp för Macen de senaste åren. Försök av hackare att bygga skadeprogram som stänger av Xprotect har dessutom misslyckats.

Kan jag kontrollera om jag har drabbats?
I tidigare versioner av IOS var det enkelt att kontrollera om du har några appar installerade med tillhörande provisioning profile. I Inställningar -> Allmänt -> Profiler fick du en lista och kunde enkelt radera en profil du inte kände igen.

Med IOS 8 har denna möjlighet försvunnit då Apple inte vill att vanliga användare ska hålla på och rota i det här. Det gör det svårare att veta om du har råkat installera något skumt.

Eftersom Masque Attack precis har upptäckts och inga kända fall av hur hackare har utnyttjat den kan du förmodligen känna dig trygg med appar du tidigare har installerat, men var extra noggrann med att inte trycka på Godkänn om systemet undrar om du vill installera en app av en okänd utvecklare från och med nu, eftersom sannlikheten att någon börjar utnyttja tekniken nu är väldigt stor. Xagent dyker upp som en ikon på någon av hemskärmarna om du kör IOS 8.

GatekeeperHär är en lathund för att inte drabbas av Wirelurker, Masque Attack eller några andra liknande attacker:

  1. Klicka inte på länkar till att ladda ner appar som inte går till App Store på IOS.
  2. Tillåt inte appar att köras när systemet varnar för att de inte har signerats av kända utvecklare.
  3. Stäng inte av OS X:s skyddssystem Gatekeeper om du inte är väldigt säker på vad du gör. Vill du köra ett enstaka program från andra utvecklare kan öppna Systeminställningar -> Säkerhet och integritet efter ha ha försökt starta det. Då finns en knapp för att kringgå Gatekeeper enbart för just det programmet.
  4. Jailbreaka inte din IOS-enhet om du inte absolut måste, och var extra vaksam om du ändå gör det.
  5. Håll både IOS och OS X uppdaterat och håll utkik på MacWorlds hemsida efter nyheter om eventuella säkerhetshot.