iOS

Bug di iOS 8 permette agli hacker di sostituire app per iPhone

Una debolezza nella versione più recente di iOS 8 consente agli hacker di installare applicazioni su iPhone o iPad inviando agli utenti un messaggio di posta elettronica o di testo. L’attacco può essere utilizzato per rubare informazioni personali, spiare le comunicazioni o potenzialmente monitorare la posizione fisica dell’utente con il chip GPS nei dispositivi Apple.

Scoperto dai ricercatori di sicurezza di FireEye e chiamato “Masque“, l’attacco si avvale di strumenti aziendali focalizzati simili a Wirelurker, un precedente bug di iOS 8 che permette a un utente malintenzionato di utilizzare un Mac compromesso per installare del software su un iPhone.

ios-8-problemi-informatblog

Prima di poter essere infettato, l’utente deve essere indotto a fare clic su un collegamento in un sms o e-mail, e poi accettare la richiesta di installazione di un’app. In genere, un’app installata in questo modo richiede un certificato di sicurezza firmato da Apple per funzionare su iPhone non modificati per installare applicazioni non ufficiali, e così il malware non può andare oltre il cancello.

Tuttavia, Masque utilizza una vulnerabilità che consente a una app di iOS con lo stesso nome del file di sostituire quello originale, a prescindere dallo sviluppatore. Gli utenti potrebbero pensare che stanno installando il nuovo Flappy Bird, ma in realtà stanno scaricando un’applicazione che sostituisce silenziosamente la loro app Gmail con una falsa. Il loro iPhone non impedisce che questo accada, perché non si rende conto che l’applicazione Gmail è stata sostituita.

FireEye dice che Masque è un’applicazione con lo stesso principio utilizzato nell’attacco WireLurker, ma su scala molto più grande. “Dopo aver guardato WireLurker, abbiamo scoperto che ha iniziato a utilizzare una forma limitata di attacchi Masque per attaccare dispositivi iOS 8 tramite USB. Gli attacchi Masque possono rappresentare minacce molto più grandi rispetto a WireLurker”, secondo i ricercatori della società Hui Xue, Tao Wei e Zhang Yulong.

“Gli attacchi Masque possono sostituire applicazioni autentiche, come le applicazioni bancarie, applicazioni per la e-mail, utilizzando il malware dell’attaccante attraverso internet. Ciò significa che l’utente malintenzionato può rubare le credenziali bancarie di un utente sostituendo un’autentica app bancaria con del malware che ha un’interfaccia utente identica.

“Sorprendentemente, il malware può anche accedere ai dati locali dell’app originale, che non è stata rimossa quando l’applicazione originale è stata sostituita. Questi dati possono contenere messaggi di posta elettronica memorizzati nella cache, o addirittura dati di login che il malware può utilizzare per accedere direttamente ai dati dell’utente direttamente”.

Gli utenti possono evitare il problema non installando applicazioni da fonti di terze parti diverse dall’App Store o della propria azienda. Eppure l’esistenza del difetto pone ancora rischi se gli utenti possono essere ingannati ad accettare comunque l’installazione. FireEye rileva che ci sono diversi fattori attenuanti: “Un utente malintenzionato dovrebbe ottenere un profilo di enterprise provisioning o rubarne uno, e nessuna delle due opzioni è banale. Ci sarebbe anche un avvertimento per l’utente, che dovrebbe apparire sospetto perché non è qualcosa che si vede normalmente in iOS 8. Finché selezionerete ‘non installare’, sarete protetti da questa vulnerabilità”.

A lungo termine, la vulnerabilità ha più probabilità di essere impiegata come attacco di “spear phishing”: attacchi altamente mirati volti a rubare i dati personali di un target specifico. Tali attacchi sono stati la base di molti successi di hacking più ampi, come quelle effettuate dall’esercito elettronico siriano.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti