Apple iOS, app malevole rimpiazzano quelle legittime

È trascorso appena qualche giorno dalla diffusione dell'analisi tecnica su Wirelurker (WireLurker minaccia Mac OS X e i dispositivi iOS), malware pensato per aggredire gli utenti Mac OS X ed infettare i dispositivi Apple iOS non appena collega...

È trascorso appena qualche giorno dalla diffusione dell’analisi tecnica su Wirelurker (WireLurker minaccia Mac OS X e i dispositivi iOS), malware pensato per aggredire gli utenti Mac OS X ed infettare i dispositivi Apple iOS non appena collegati con il cavo USB.

Abbiamo descritto Wirelurker come una minaccia che, almeno allo stato attuale, non può essere considerata come tale ma che ha tutto il potenziale per esserlo in futuro. E sono stati i tecnici di FireEye, a distanza di pochi giorni, a mettere il dito nella piaga presentando quello che è stato battezzato “Masque attack“.

Come Wirelurker, anche il “Masque attack” sfrutta una caratteristica di iOS ossia la possibilità di utilizzare il meccanismo enterprise provisioning (speciali profili che consentono di disporre l’installazione di app sui dispositivi iOS) per installare applicazioni malevole anche sui device della Mela non sottoposti a jailbreaking.

Un aggressore, spiegano i tecnici di FireEye, può sviluppare un’applicazione presentata col nome “Nuovo Flappy Bird” o qualsiasi altra denominazione che possa riscuotere l’interesse e la curiosità degli utenti Apple.
A tale app, ovviamente non pubblicata sull’App Store ufficiale di Apple ma ospitata su server di terzi, viene assegnato il cosiddetto bundle identifier di un’altra applicazione, molto famosa e popolare. Il bundle identifier è la stringa identificativa – che dovrebbe essere univoca – utilizzata per identificare ciascuna applicazione per dispositivi mobili Apple.
FireEye ha provato a sviluppare un’app assegnandole l’identificativo com.google.Gmail che, com’è ovvio, contraddistingue l’applicazione Google Gmail. Alla stessa app è stato poi attribuito il nome “New Flappy Bird“.

Invitando l’utente iOS ad installare l’applicazione attraverso un qualunque canale, sfruttando il meccanismo dell’enterprise provisioning, l’app viene sostituita a Google Gmail (avendo lo stesso bundle identifier).
In questo modo, un’app malevola può sostituirsi ad un’app legittima ed avere la possibilità di leggere e sottrarre i dati lasciati sul dispositivo mobile dall’altra applicazione o comunque iniziare una sorta di attacco phishing, estremamente efficace, nei confronti dell’utente.

Il consiglio è ovviamente quello di non accettare mai l’installazione di applicazioni da sorgenti diverse rispetto all’App Store di Apple: questi attacchi, infatti, non possono essere sferrati in maniera automatica ma richiedono sempre l’intervento dell’utente che, di fatto, deve aprire la porta al malware.
Inoltre, va sempre evitato di toccare Installa nel momento in cui dovesse comparire una qualsivoglia finestra pop-up ed escludere l’installazione di quelle app provenienti da sviluppatori non affidabili.

È in ogni caso opportuno verificare che sul proprio dispositivo Apple non siano presenti profili enterprise provisioning nelle impostazioni di iOS (Impostazioni, Generali, Profili).

Il video seguente mostra le possibili modalità di attacco:

Maggiori informazioni sul post di FireEye.

Ti consigliamo anche

Link copiato negli appunti