Tromper l'utilisateur pour prendre pied dans le système : la menace des fausses mises à jour d'iOS.

Jamf Threat Labs s'intéresse à la façon dont les pirates utilisent de fausses mises à jour iOS pour pérenniser leur présence dans des appareils iOS compromis.

Août 6 2024 Par

Jamf Threat Labs

Recherches menées par : Hu Ke et Nir Avraham

Face à l'évolution rapide des menaces mobiles, il faut impérativement des défenses multicouches pour maintenir un espace de travail sécurisé. Le concept n'est pas nouveau pour les professionnels de la sécurité et de la gestion des risques. Mais les techniques utilisées pour protéger les équipes mobiles sont intrinsèquement différentes de celles qui sécurisent les appareils traditionnels résidant dans le périmètre de l'entreprise.

Lorsqu'ils étudient une nouvelle menace, les chercheurs du Jamf Threat Labs s'efforcent de comprendre son fonctionnement de bout en bout. Ils ne cherchent pas seulement comment les pirates infiltrent un appareil au départ. Ils veulent aussi savoir puis ce qu'ils y font, comment ils collectent les informations qui les intéressent et comment ils les exfiltrent.

Nos chercheurs utilisent des cadres tels que MITRE ATT&CK pour étudier les différentes phases du cycle de vie d'une attaque, mais l'objet de cet article n'est pas de détailler l'intégralité de la séquence d'attaque. Aujourd'hui, nous allons nous concentrer sur une phase spécifique de l'attaque mobile : la persistance. Plus précisément, nous allons explorer les rouages complexes d'une fausse mise à jour d'iOS destinée à tromper les utilisateurs d'un appareil compromis. Cette ruse leur fait croire qu'ils sont en train de télécharger et d'installer l'OS le plus récent et le plus sécurisé disponible, iOS 18 dans notre scénario.

Révéler la supercherie

Dans le cadre de nos recherches sur les techniques de « persistance » sur mobile, nous nous demandons comment des pirates pourraient exploiter l'interface des réglages d'iOS, modifier les paramètres de mise à jour du système et afficher des invites et des notifications concernant la disponibilité d'une mise à jour d'iOS 18.

Une fois qu'un pirate a réussi à infiltrer un appareil cible, son objectif est de s'y maintenir afin de collecter ses précieuses données le plus longtemps possible. Selon une étude indépendante, il faut en moyenne 277 jours pour identifier et contenir une violation : 207 jours pour l'identification et 70 jours pour l'atténuation.

Source : https://www.ibm.com/reports/data-breach-action-guide

Pour maintenir aussi longtemps sa présence sur un appareil, le pirate doit masquer ses traces et déguiser ses activités le mieux possible. Dans le cas de notre simulation de mise à jour d'iOS, il cherche à convaincre l'utilisateur que son appareil fonctionne normalement. Derrière cette façade élaborée d'authenticité, il maintient sa présence sur l'appareil pour mieux compromettre son intégrité.

Exploiter la confiance des utilisateurs

L'efficacité de notre simulation nécessite d'inspirer confiance aux utilisateurs. Bien imités, l'apparence et le langage des vraies mises à jour d'iOS suscitent un faux sentiment de sécurité. Chaque aspect, de l'alerte initiale aux indicateurs de progression, est soigneusement conçu pour maintenir l'illusion.

Fondements techniques

Sous la surface de notre système de fausse mise à jour d'iOS se cache un mécanisme sophistiqué. Nous utilisons des techniques avancées pour tromper l'utilisateur en interceptant et en modifiant les communications entre l'appareil et le serveur de mise à jour. Cette manipulation redirige l'appareil vers un environnement contrôlé de fausses mises à jour en contournant les canaux officiels d'Apple. Une remarque essentielle : ce scénario suppose que l'appareil a déjà été compromis.

Conséquences de la compromission

Pour l'utilisateur qui se fait prendre par notre faux système de mise à jour, les conséquences sont lourdes. Un appareil compromis ne peut plus être mis à jour vers la dernière version (iOS 18 dans notre cas), ce qui l'expose à d'autres exploitations ultérieures.

Atténuation des risques

Pour repousser cette menace, les utilisateurs doivent faire preuve de vigilance et de prudence face aux invites qui s'affichent sur leur appareil iOS. Ils peuvent, par exemple, vérifier les notifications de mise à jour auprès de sources fiables comme le site officiel d'Apple ou consulter le menu Réglages.

Une sécurité mobile complète avec Jamf

Apple a récemment alerté les utilisateurs d'iPhone au sujet de nouvelles attaques sur iOS. Dans un tel contexte, il devient absolument crucial d'intégrer la sécurité mobile à votre stratégie. Jamf fournit une défense robuste et multicouche grâce à sa gamme complète de solutions :

  • Inscription des appareils pour les appareils d'entreprise et en BYOD : Jamf centralise le contrôle et la vérification des appareils de société et des partitions de travail des appareils inscrits par l'utilisateur.
  • Configuration sécurisée des appareils et audits de conformité : les fonctionnalités de Jamf s'alignent sur les normes de conformité usuelles, mais vous pouvez également concevoir vos propres règles. Jamf vous permet ensuite d'auditer le respect de ces normes au fil du temps.
  • Protection moderne des terminaux et défense contre les menaces mobiles : Jamf offre une solution de pointe pour la sécurité des terminaux Mac et mobiles (iOS et Android).
  • Détection et réponse avancées  : Jamf propose un service très efficace de détection et de réponse sur mobile.
  • Accès à distance moderne : Jamf offre une solution d'accès zero-trust native, conçue pour la modernité. Elle intègre le contrôle de l'identité des utilisateurs, l'application des règles et une évaluation continue des risques liés aux appareils.

Conclusion

Ce concept de mise à jour d'iOS trompeuse est une preuve supplémentaire de la créativité et de la complexité des menaces de cybersécurité modernes. Il faut constamment rester sur ses gardes. En mettant en lumière les spécificités de cette technique, notre but est d'informer les organisations et de leur apporter les connaissances nécessaires pour protéger les individus et leur activité contre les menaces qui apparaissent constamment dans l'environnement iOS.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.

Étiquettes: