Pojawiła się nowa grupa ataków na iOS wykorzystująca mechanizm konia trojańskiego. Aplikacja udająca aktualizację zainstalowanego oprogramowania uruchamiana jest przez nieświadomego użytkownika odwiedzającego stronę www.
IOS posiada mechanizm bundle identifier w zamyśle pozwalający na aktualizacje zainstalowanych aplikacji, który nie wymaga stosowania certyfikatu (podpisu cyfrowego). Mechanizm ten jest wykorzystywany do ataku. Odwiedzana strona oferuje aktualizacje aplikacji zainstalowanej np. z App Store podając poprawny identyfikator (bundle identifier). Ponieważ aktualizacje aplikacji są częste i na ogół pożyteczne, większość użytkowników bez zastanowienia zgadza się na nie. Aktualizacja uruchamiana z przygodnie odwiedzanej strony może powodować zamianę oficjalnej aplikacji na wersje dostarczoną przez hakera. Według US-CERT zainstalowana w ten sposób aplikacja ma dostęp do danych oryginału, w tym informacji służących do logowania i może wyglądając jak oryginał wykonywać dodatkowe zadania takie jak:
- Kopiowanie lokalnie przechowywanych danych
- Śledzenie urządzenia
- Umożliwianie zdalnego dostępu do urządzenia
Oprogramowanie systemowe takie jak przeglądarka Safari nie jest wrażliwe na atak, ale inne aplikacje już tak, Dlatego przed uruchomieniem aktualizacji aplikacji należy upewnić się ze faktycznie korzystamy ze źródła, z którego oryginalna aplikacja pochodzi (App Store lub firmowy sklep z aplikacjami). Ponieważ to użytkownik uruchamia aktualizację Apple iOS “Masque Attack” Technique należy uznać za rodzaj konia trojańskiego.