Apple hat mit iOS 9 eine grundsätzliche Policy Änderung eingeführt: Erlaubnis zur Installation von selbsterstellten Anwendungen auf iOS-Geräten ohne Jailbreak nur per Apple-ID. Mi3security nennt es Su-A-Cyder.
Su-A-Cyder hat mehrere Bestandteile:
- Schadcode
- Teile einer originalen Anwendung
- anonyme Apple-ID
Su-A-Cyder ist keine Maleware und auch keine Sicherheitslücke, es ist eine Sicherheitsbedrohung.
Denn jede originale Anwendungen kann mit Open-Source-Lösungen neukompiliert, mit einer anonymen Apple-ID signiert und auf ein Gerät per Sideload installiert werden.
Auf der Black Hat Asia 2016 demonstrierte Mi3 Su-A-Cyder und übernahm die Kontrolle von einem Good MDM Agent durch die Installation einer angepassten Sykpe Anwendung. Dabei wurde Vollzugriff auf Jabber erlangt.
Su-A-Cyder birgt eine große Gefahr für BYOD Systeme. Es gibt keine Möglichkeit zur Unterscheidung oder Sicherheitskontrollen von original und angepassten Anwendungen.
Apple kann nur Zertifikate, die für solche Angriffe genutzt wurden, im Nachhinein entziehen. Diesen Schutzmechanismus gibt es seit iOS 9. Aber, die angepassten Anwendungen können ein neues Zertifikat generieren und neu kompilieren. Dies verhindert eine Erkennung durch Antivirensoftware außer es gäbe Software zur Erkennung von polymorphen Codes. Doch da gibts es ein Problem: Apple erlaubt keine Antivirensoftware auf iOS.