No quería centrarme por completo en la seguridad de los dispositivos de Apple durante la mayor parte de esta semana (ver aquí y aquí), pero la nueva investigación de Sophos debería ser de interés para cualquier empresa que trabaje para mejorar la conciencia de seguridad.</p><h2><strong>Breaking Bad</strong></h2><p>La investigación cubre 167 aplicaciones falsas utilizadas para estafar a los usuarios de iOS y Android. Los que impactaron en el sistema operativo móvil de Apple se destacaron particularmente, ya que muestran la creciente sofisticación de los creadores de malware.
Sophos a découvert que ces attaques sophistiquées combinaient diverses armes, allant de l'ingénierie sociale, de faux sites Web, de fausses pages iOS App Store, et même un site Web de test d'applications iOS pour transmettre ces fausses applications aux appareils victimes. Sophos prévient que les attaques peuvent être exploitées par le même groupe et que toutes les applications identifiées prétendent être des applications de cryptographie, d'actions et bancaires qui volent ceux qui les utilisent. Il est important de noter que Sophos a partagé les détails de ces applications et qu'elles devraient désormais être détectées par les applications de détection de logiciels malveillants.
Quels vecteurs d'attaque ont été utilisés?
Ce qu’il est important que les utilisateurs d’entreprise identifient, c’est quels vecteurs d’attaque ont été utilisés pour distribuer ces applications. Ce sont avant tout de bons exemples d’ingénierie sociale combinée à des tentatives sophistiquées d’usurpation d’identité. Par exemple, les chercheurs ont identifié un cas où un attaquant a trouvé une victime sur une application de rencontres qu'il a finalement manipulée pour installer une fausse application qui a ensuite tenté de voler les détails de la crypto-monnaie d'une personne. Les attaques ont également utilisé des sites Web frauduleux qui semblent être des sites légitimes de marques connues, ainsi que des pages de distribution d'applications ad hoc et de téléchargement de l'App Store assez attrayantes, accompagnées de faux avis clients.
L'humanité est vulnérable
Ce qui rend ces exploits convaincants dangereux, c’est l’authenticité construite. Cela signifie que les gens, y compris vos employés, peuvent facilement en devenir la proie. Une fois de plus, ces tentatives se concentrent sur le maillon le plus faible de toute chaîne de sécurité : les humains qui utilisent l’équipement. Que peuvent faire les entreprises pour se protéger ? C'est un argument en faveur du Zero Trust, je pense. Les mots de passe ne protègent pas suffisamment les données personnelles, mais également les informations et les services de l’entreprise. Tout comme je le recommanderais à tout utilisateur iOS, les entreprises devraient au moins mettre en œuvre une authentification multifacteur pour renforcer les protocoles de sécurité existants, même si cela ne suffit pas. Un autre obstacle à l’atténuation de l’impact de telles attaques réside dans les modèles de sécurité zéro confiance basés sur le réseau. La sécurité étant aujourd’hui une question de si et non de si, l’adoption de protections de sécurité combinées augmente la probabilité que les données restent sécurisées même si l’un des composants de cette protection est violé.
La distribution ad hoc a également été utilisée
Il convient également de noter que dans au moins certains de ces cas, les criminels ont eu recours à une distribution ad hoc (Sophos fait référence aux services de développement de super-entreprises) pour échapper au processus App Store d'Apple. Cela leur a permis de créer ce qui semblait être de véritables applications distribuées par de fausses pages de l'App Store, mais entièrement construites et gérées en dehors du processus de l'App Store. Ce sont les types d'installations que vous verrez beaucoup plus si les développeurs mobiles sont obligés de gérer les App Stores de la même manière qu'un centre commercial multi-magasins, plutôt que des grands magasins haut de gamme. Mais je m'éloigne du sujet. Les applications sont malveillantes et agissent comme de vraies applications, mais sont distribuées via une fausse page App Store. Ils n'interagissent jamais réellement avec Apple et les services de développement utilisés sont susceptibles de violer les accords de licence de développeur d'Apple. Les fournisseurs d’App Store peuvent prendre des mesures pour atténuer ces attaques. Sophos suggère que les magasins ajoutent des scores de réputation et de fiabilité aux évaluations des applications, par exemple.
Apple doit...
Nous savons qu'Apple surveille de telles tentatives via l'App Store. L’année dernière, l’entreprise a fermé 470,000 200,000 comptes de développeurs et rejeté plus de 95,000 XNUMX inscriptions en raison de problèmes de fraude. Il a également supprimé XNUMX XNUMX applications de l’App Store pour violations frauduleuses, telles que la manipulation des utilisateurs pour qu’ils effectuent des achats. Mais l'utilisation de la distribution d'applications ad hoc dans ces violations a conduit Sophos à recommander à Apple de créer un nouveau message d'avertissement iOS qui permet aux utilisateurs de savoir s'ils installent des applications ad hoc en dehors de celui-ci. Apple App Store. Je suis tout à fait d'accord avec cette approche. Je ne pense pas que les bêta-testeurs seront découragés par de tels avertissements lors de l'installation d'applications de test. Je ne pense pas non plus que les entreprises utilisant de petites distributions d'applications développées en interne auront du mal à expliquer un tel avertissement aux employés. Les avantages plus larges de l’ajout d’une barrière à l’installation d’applications criminelles distribuées grâce à une ingénierie sociale intelligente et à une usurpation d’identité convaincante dépassent de loin la friction liée à la réception d’un tel avertissement en premier lieu. Cependant, le jeu du chat et de la souris entre les services en ligne, les entités, les utilisateurs et les entreprises contre les cybercriminels continue de devenir plus complexe et l'humain reste le maillon le plus faible de la chaîne de sécurité. Sur n'importe quelle plateforme. Suivez-moi sur Twitter ou rejoignez-moi dans les groupes bar & grill et Apple Discussions d'AppleHolic sur MeWe.
<p>Copyright © 2021 IDG Communications, Inc.</p>