Svůj výzkum pojmenovali „Jekyll apps“ a představili ho na 22. bezpečnostím symposiu USENIX v americkém hlavním městě.
Zprávu také zveřejnili online jako PDF s názvem Jekyll na iOS: Když se neškodná aplikace stane zlou (Jekyll on iOS: When Benign Apps Become Evil).
„Naše metoda útočníkům umožňuje spolehlivě ukrýt zákeřné chování, které by jinak způsobilo zamítnutí aplikace během vstupního procesu,“ vysvětlil pětičlenný tým.
„Klíčovou myšlenkou je vytvořit aplikaci tak, aby se dala zneužít na dálku, změnit kód a dodatečně představit zákeřné řídící toky. Vzhledem k tomu, že nové řídící toky během schvalovacího procesu neexistují, mohou takové aplikace od Applu jednoduše získat schválení k distribuci pomocí App Store. Naši pokusnou aplikaci Jekyll jsme úspěšně zveřejnili na App Store a poté jsme na kontrolované skupině zařízení vzdáleně spustili útok. Výsledky ukazují, že nehledě na to, že byla aplikace uvnitř iOS sandboxu, mohla úspěšně provést mnoho zákeřných útoků – tajně rozesílat tweety, fotit, krást identifikační údaje nebo dokonce zneužít zranitelnosti jádra systému.“
Výzkumníci použili soukromé API, aby mohli zpřístupnit data uživatelů, třeba obsah jejich adresáře.
Jekyll byl založen na zpravodajské open source aplikaci News:yc, kterou výzkumníci doplnili o zranitelnosti a zákeřný kód a nastavili ji k připojení na jimi kontrolovaný server. Apple aplikaci schválil a vydal v březnu 2013 na dost dlouho, aby ji tým mohl stáhnout na svá vlastní zařízení. Poté ji rychle výzkumníci z obchodu stáhli, aby ji nenainstaloval někdo jiný.
Tom Neumayr, mluvčí Applu, řekl, že Apple na zprávu již reagoval a provedl potřebné změny. Aktualizace obsahující bezpečnostní vylepšení vydal Apple již v půlce března, tvůrci Jekylla však pochybují o tom, že by to bylo v reakci na jejich zneužití.
Takto škodlivé aplikace by podle nich nebylo možné rozpoznat bez důkladného prozkoumání zdrojového kódu.
Podle výzkumníků Applu zabralo pouze pár vteřin, než aplikaci zkontroloval a schválil k distribuci přes svůj obchod s aplikacemi. To vyvolává otázku, jaký jiný malware by se do App Storu mohl dostat, nebo jaký tam již je.
Apple oznámil, jak aplikace testuje. Standardní metodou by bylo spustit strojovou „dynamickou analýzu,“ při které je kód spuštěn ve virtuálním zařízení a zkontrolován.
Konkurenční Android čelí problémům s malwarem v Google Play celkem často, podle bezpečností společnosti Trend Micro bude na Androidu do konce roku k dostání milion zákeřných aplikací.
Novinka, že ani Apple není úplně neomylný při schvalovacím procesu, může podpořit hackery, aby se na tento OS zaměřili více, společnost tak bude muset svou bezpečnost vylepšit.