SICUREZZA INFORMATICA
Home articoli Sicurezza informatica Articolo

Pericolo Masque Attack, app modificate sui nostri dispositivi iOS

La settimana che sta per terminare è tra le più complicate per Apple, se parliamo delle minacce di cui abbiamo parlato qui su Migliori Antivirus. Solo due giorni fa parlammo del pericoloso Wirelurker però non basta.
del 14/11/14 -

La settimana che sta per terminare è tra le più complicate per Apple, se parliamo delle minacce di cui abbiamo parlato qui su Migliori Antivirus. Solo due giorni fa parlammo del pericoloso Wirelurker però non basta.
Nel mese di luglio di quest'anno, l'osservatorio FireEye mise in luce un altro problema: una app modificata era in grado di sostituirsi alla gemella originale tramite l'App Store, usando lo stesso numero di 'pacchetto'.
App di questo tipo mostrano in genere un titolo personalizzato ("Nuovo Flappy Bird") per incitare gli utenti a scaricare e installare il programma per verificare le novità. Durante il setup, purtroppo, l'applicazione veniva scambiata.
Tutte le app possono essere sostituite, meno quelle che troviamo già installate su iOS come il navigatore Safari.
Questa vulnerabilità esiste perchè iOS non obbliga a controllare i certificati di sicurezza delle app con l'identificatore di pacchetto. La minaccia Masque Attack colpisce infatti questi sistemi (con o senza Jailbreak):
- iOS 7.1.1/7.1.2
- iOS 8.0
- iOS 8.1/8.1.1 beta
Un intruso potrebbe sfruttare la vulnerabilità in due modi: tramite connessione Wi-Fi o USB. Masque Attack funziona come si vede nel seguente video:

Come agisce Masque Attack su iOS

Questa vulnerabilità fu notificata da FireEye a Apple lo scorso 26 di luglio. Pochi giorni fa, Claus Xlao scoprì la famosa minaccia WireLurker e presente in centinaia di app negli store cinesi. Confrontando entrambe le minacce, possiamo stabilire un collegamento fra loro, dato che WireLurker sfrutta il principio di Masque Attack per realizzare intrusioni mediante connessione USB per poter modificare app legittime, convertendole in altre differenti.

Ciò nonostante, WireLurker è primitiva (quini un pò meno pericolsa) rispetto a Masque Attack, dato che questo è in grado di sostituirsi ad app autentiche, come quelle che usiamo per inviare e ricevere posta o accedere al nostro conto bancario. Un altissimo pericolo per tutti, un malware capace di accedere inoltre a dati e informazioni della app originale dove potrebbero esserci informazioni nostre salvate come token di accesso, username ed altro.
Sono in corso delle verifiche per investigare questa minaccia dato che è possibile che esistano app infettate senza che gli stessi sviluppatori se ne siano resi conto.

Caratteristiche di Masque Attack
Questo malware permette a un hacker di raggirare le vittime presentando una app che sembra legittima (per il nome usato) bypassando anche i controlli di iOS con queste conseguenze:
L'interfaccia di inizio sessione viene modificata senza che l'utente se ne renda conto.
I dati della app original, cache, dati locali, rimangono salvate nella cartella del malware nonostante il programma sia stato rimosso da Masque Attack.
Le interfacce MDM (Mobile Device Management) non sono capaci di distinguere tra app originale e malware ed è impossibile recuperare le informazioni del certificato delle due app diverse, se ne sta occupando Apple.
Alcune app distribuite su piattaforme aziendali (EnPublic Apps) non dipendono da Apple e gli hacker possono sfruttare le API private per realizzare attacchi ancora più potenti, come per esempio imitare l'interfaccia di iCloud rubando Apple ID e password.
Questo Masque Attack supera inoltre le "Sandbox" di sicurezza delle app. Ottenuti i permessi root potrá sfruttare eventuali vulnerabilità senza che l'utente possa accorgersene.
Esempio di attacco realizzato
Nella seguente immagine è possibile vedere l'ordine delle azioni portate avanti dal malware, Nell'esperimento è stato usata una app con ID di pacchetto "com.google.Gmail", sostituita con il nome "New Flappy Bird". La app è stata firmata con un normale certificato e installata dal sito web. Il risultato? La casella di Gmail è stata sostituita con una del tutto simile.
Esempio di un Masque Attack

Quasi non esiste differenza, a parte la scritta: "yes, you are Pwned" che appare nell'ultima cattura.
Evitare Masque Attack dipende da noi

Masque Attack opera direttamente su reti non cablate, quindi non serve che esista una connessione diretta tra PC e smartphone con iOS.
I dati rubati da Masque Attack

Come evitare i rischi
- Non installare app da fonti non verificate e che non appaiono nell'App Store.
- Non accettare installazioni di app che arrivano da pop-up che appaiono da sole, come si vede nell'immagine anteriore. Tali messaggi sono sempre e del tutto pericolosi.
- Quando apriamo una app, l'iOS mostra un messaggio molto chiaro: "Sviluppatore non verificato". Disinstalla tutto immediatamente.

Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Comunicazione Web
Responsabile account:
 Alessandro Elia (Redattore)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Stampa ID: 239549