"Telecomprovider betrokken bij zeroday-aanval tegen iPhone-gebruikers"
IPhone-gebruikers zijn afgelopen december het doelwit van een zeroday-aanval geworden waarbij aanvallers samenwerkten met een telecomprovider en er gebruik werd gemaakt van een malafide Vodafone-app, zo laat Google weten. De telecomprovider van het doelwit werd door de aanvallers gevraagd om de mobiele dataverbinding uit te schakelen. Vervolgens stuurden de aanvallers een sms-bericht naar het doelwit waarin werd gesteld dat de gelinkte Vodafone-app geïnstalleerd moest worden om de dataverbinding te herstellen.
De malafide-app bevond zich niet in de Apple App Store, maar kon door middel van een enterprise-certificaat worden gesideload. Deze certificaten zijn voor driehonderd dollar bij Apple verkrijgbaar en zorgen ervoor dat iOS-apps buiten de controle van de App Store op iPhones zijn te installeren. "We begrijpen dat het Enterprise ontwikkelaarsprogramma is bedoeld voor bedrijven om "vertrouwde apps" onder de iOS-apparatuur van hun personeel uit te rollen, is het in dit geval gebruikt om deze malafide provider-app te sideloaden", zegt Ian Beer van Google Project Zero in een analyse.
De app bleek zes exploits te bevatten, waarvan vijf voor bekende kwetsbaarheden in oudere iOS-versies. Er was echter ook een exploit voor een onbekende kwetsbaarheid in IOMobileFrameBuffer toegevoegd waardoor het uitvoeren van code met kernelrechten mogelijk is. IOMobileFrameBuffer is een kernel-extensie waarmee ontwikkelaars kunnen bepalen hoe het systeemgeheugen wordt gebruikt voor de schermweergave. Via de app werden allerlei interesse bestanden van het besmette toestel gekopieerd, waaronder de WhatsApp-berichtendatabase. Apple verhielp het probleem (CVE-2021-30983) in iOS 15.2 en iPadOS 15.2 die op 13 december vorig jaar uitkwamen.
Android
Volgens Google waren de aanvallen gericht tegen gebruikers in Italië en Kazachstan. Daarbij waren ook Android-gebruikers het doelwit. Hiervoor maakten de aanvallers echter geen gebruik van kwetsbaarheden, maar vroegen slachtoffers de zogenaamde malafide applicatie zelf te installeren. Ook bij de aanvallen tegen Androidgebruikers werd er samengewerkt met de telecomprovider van het slachtoffer en een sms verstuurd nadat de dataverbinding was uitgeschakeld, aldus Google.
Het lijkt me niet vergezocht om aan te nemen dat de betreffende telecomprovider Vodafone was.
Wanneer je als doelwit klant bent van een andere telco is het raar om dan de Vodafone app te moeten gebruiken voor je data van <andere operator> .
De "social engineering" is wel erg overtuigend : Telco zet de dataverbinding uit, en gebruiker krijgt SMS "vanaf heden moet U onze app gebruiken voor data" .
Ik denk dat _heel_ weinig gebruikers dan paranoide genoeg zijn om geen data te gebruiken en het probleem verder te onderzoeken.
Met de telco in het complot moet gevreesd worden dat de helpdesk bellen 'klopt dit' bevestigd wordt.
OTOH - dit type targeted user door een telco zal door een heel klein aantal mensen behandeld worden (wsl vergelijkbaar met taplasten) , en de helpdesk zal niet in de 'need to know' pool zitten om een bullshit verhaal klaar te hebben voor als Abdul belt dat z'n data het niet doet - de helpdesk zal het dan oppakken als een "gewone" storing voor die gebruiker.
Of de aanvallers hebben hulp van een insider gehad.
als je contact opnemend met ziggo krijgt je zeer goedkope werknemers uit Suriname aan de lijn en niet uit Amsterdam bij de hand
Of de aanvallers hebben hulp van een insider gehad.
DIt heeft alle indicatie van een state actor . Gewoon met een gerechtelijk bevel lijkt me.
Maar budget en skills om een insider te corrumperen zijn bij aanvallers die met dit soort zero days werken zeker ook aanwezig .
Je "dus" klopt niet - de MMS melding was valide.
Je verhaal is trouwens stokout , denk ik.
MMS - 'multimedia SMS' . Die service is door sommige operators uitgefaseerd, en door andere niet of later.
Probleem ontstond als iemand bij een operator die nog wel MMS doet jou een MMS stuurt , en jij zit bij een operator die het (al) niet meer ondersteund.
Dat wordt pas ontdekt bij het verzenden . De MMS-bron-operator stuurde dan inderdaad een SMS dat je de MMS ergens op een portal kon zien.
Vodafone heeft ook (al lang) MMS uitgezet.
https://www.vodafone.nl/support/afscheid-van-mms
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.