image

"Telecomprovider betrokken bij zeroday-aanval tegen iPhone-gebruikers"

vrijdag 24 juni 2022, 11:11 door Redactie, 9 reacties

IPhone-gebruikers zijn afgelopen december het doelwit van een zeroday-aanval geworden waarbij aanvallers samenwerkten met een telecomprovider en er gebruik werd gemaakt van een malafide Vodafone-app, zo laat Google weten. De telecomprovider van het doelwit werd door de aanvallers gevraagd om de mobiele dataverbinding uit te schakelen. Vervolgens stuurden de aanvallers een sms-bericht naar het doelwit waarin werd gesteld dat de gelinkte Vodafone-app geïnstalleerd moest worden om de dataverbinding te herstellen.

De malafide-app bevond zich niet in de Apple App Store, maar kon door middel van een enterprise-certificaat worden gesideload. Deze certificaten zijn voor driehonderd dollar bij Apple verkrijgbaar en zorgen ervoor dat iOS-apps buiten de controle van de App Store op iPhones zijn te installeren. "We begrijpen dat het Enterprise ontwikkelaarsprogramma is bedoeld voor bedrijven om "vertrouwde apps" onder de iOS-apparatuur van hun personeel uit te rollen, is het in dit geval gebruikt om deze malafide provider-app te sideloaden", zegt Ian Beer van Google Project Zero in een analyse.

De app bleek zes exploits te bevatten, waarvan vijf voor bekende kwetsbaarheden in oudere iOS-versies. Er was echter ook een exploit voor een onbekende kwetsbaarheid in IOMobileFrameBuffer toegevoegd waardoor het uitvoeren van code met kernelrechten mogelijk is. IOMobileFrameBuffer is een kernel-extensie waarmee ontwikkelaars kunnen bepalen hoe het systeemgeheugen wordt gebruikt voor de schermweergave. Via de app werden allerlei interesse bestanden van het besmette toestel gekopieerd, waaronder de WhatsApp-berichtendatabase. Apple verhielp het probleem (CVE-2021-30983) in iOS 15.2 en iPadOS 15.2 die op 13 december vorig jaar uitkwamen.

Android

Volgens Google waren de aanvallen gericht tegen gebruikers in Italië en Kazachstan. Daarbij waren ook Android-gebruikers het doelwit. Hiervoor maakten de aanvallers echter geen gebruik van kwetsbaarheden, maar vroegen slachtoffers de zogenaamde malafide applicatie zelf te installeren. Ook bij de aanvallen tegen Androidgebruikers werd er samengewerkt met de telecomprovider van het slachtoffer en een sms verstuurd nadat de dataverbinding was uitgeschakeld, aldus Google.

Reacties (9)
24-06-2022, 12:18 door Anoniem
Boeiende read van de exploit ook.

met een telecomprovider en er gebruik werd gemaakt van een malafide Vodafone-app,

Het lijkt me niet vergezocht om aan te nemen dat de betreffende telecomprovider Vodafone was.
Wanneer je als doelwit klant bent van een andere telco is het raar om dan de Vodafone app te moeten gebruiken voor je data van <andere operator> .


De "social engineering" is wel erg overtuigend : Telco zet de dataverbinding uit, en gebruiker krijgt SMS "vanaf heden moet U onze app gebruiken voor data" .

Ik denk dat _heel_ weinig gebruikers dan paranoide genoeg zijn om geen data te gebruiken en het probleem verder te onderzoeken.

Met de telco in het complot moet gevreesd worden dat de helpdesk bellen 'klopt dit' bevestigd wordt.

OTOH - dit type targeted user door een telco zal door een heel klein aantal mensen behandeld worden (wsl vergelijkbaar met taplasten) , en de helpdesk zal niet in de 'need to know' pool zitten om een bullshit verhaal klaar te hebben voor als Abdul belt dat z'n data het niet doet - de helpdesk zal het dan oppakken als een "gewone" storing voor die gebruiker.
24-06-2022, 13:36 door Anoniem
Het kan ook zo zijn dat de aanvallers wachten tot de data van Vodafone eruit ligt, en dan toeslaan met hun SMS. Goede hackers zijn geduldig. Lees het boek van Kevin Mitnick.
24-06-2022, 13:59 door User2048
Ik vraag me af hoe de aanvallers de helpdesk ervan overtuigd hebben dat ze de dataverbinding moesten uitzetten. Ik neem toch aan dat de helpdesk eerst verifieert of de beller wel de eigenaar van het abonnement is.

Of de aanvallers hebben hulp van een insider gehad.
24-06-2022, 14:45 door Anoniem
Corruptie


The Matrix
24-06-2022, 15:22 door Anoniem
Door User2048: Ik vraag me af hoe de aanvallers de helpdesk ervan overtuigd hebben dat ze de dataverbinding moesten uitzetten. Ik neem toch aan dat de helpdesk eerst verifieert of de beller wel de eigenaar van het abonnement is.
Dat is bijna niet te verifieren door een helpdesk. Daar is ook de "sim swapping" criminaliteit op gebaseerd.
24-06-2022, 16:05 door Anoniem
neen meneer matrixssss dat krijgt je als je zeer goedkope personeel neemt ook aan de telefoon of internet kijk maar bij ziggo
als je contact opnemend met ziggo krijgt je zeer goedkope werknemers uit Suriname aan de lijn en niet uit Amsterdam bij de hand
24-06-2022, 16:41 door Anoniem
Door User2048: Ik vraag me af hoe de aanvallers de helpdesk ervan overtuigd hebben dat ze de dataverbinding moesten uitzetten. Ik neem toch aan dat de helpdesk eerst verifieert of de beller wel de eigenaar van het abonnement is.

Of de aanvallers hebben hulp van een insider gehad.

DIt heeft alle indicatie van een state actor . Gewoon met een gerechtelijk bevel lijkt me.

Maar budget en skills om een insider te corrumperen zijn bij aanvallers die met dit soort zero days werken zeker ook aanwezig .
25-06-2022, 22:23 door Anoniem
Ik heb nooit een abonnement gehad bij Vodafone maar krijg al jaren om de zoveel tijd berichten dat er een MMS bericht voor me zou zijn en andere onzin. In het begin maakte ik er nog melding van bij Vodafone maar dat leverde niks op dus ben ik ook maar mee gestopt. Vind het dus niks gek dat ze nu hier weer bij betrokken zijn.
26-06-2022, 13:08 door Anoniem
Door Anoniem: Ik heb nooit een abonnement gehad bij Vodafone maar krijg al jaren om de zoveel tijd berichten dat er een MMS bericht voor me zou zijn en andere onzin. In het begin maakte ik er nog melding van bij Vodafone maar dat leverde niks op dus ben ik ook maar mee gestopt. Vind het dus niks gek dat ze nu hier weer bij betrokken zijn.

Je "dus" klopt niet - de MMS melding was valide.

Je verhaal is trouwens stokout , denk ik.

MMS - 'multimedia SMS' . Die service is door sommige operators uitgefaseerd, en door andere niet of later.

Probleem ontstond als iemand bij een operator die nog wel MMS doet jou een MMS stuurt , en jij zit bij een operator die het (al) niet meer ondersteund.

Dat wordt pas ontdekt bij het verzenden . De MMS-bron-operator stuurde dan inderdaad een SMS dat je de MMS ergens op een portal kon zien.

Vodafone heeft ook (al lang) MMS uitgezet.
https://www.vodafone.nl/support/afscheid-van-mms
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.