Nuovo allarme sicurezza per i possessori di iPhone, iPad e iPod Touch, nuovo grattacapo per Apple: Masque Attack. Una tattica grazie ai quale gli hacker possono sfruttare come veicoli email o Sms per installare su dispositivi iOS applicazioni “mascherate” da app ufficiali, ma in realtà malevoli e in grado di frugare tra i dati dell’utente. La tecnica di assalto è stata scoperta nei mesi scorsi società di sicurezza FireEye e prontamente comunicata a Apple, che sarebbe già al lavoro per risolvere il problema.
All’origine di tutto c’è un bug riguardante le versioni di iOS dalla 7.1.1 alla 8.1 (e 8.1.1. beta), attualmente installate sul 95% degli iPhone, iPad e iPod Touch in circolazione: in sostanza, il sistema operativo non impone certificati corrispondenti per le applicazioni con lo stesso bundle identifier, cioè lo stesso codice identificatore. Questo consente ai criminali di modificare a piacimento le applicazioni di App Store, fino a sostituirle sul terminale della vittima con del software malevolo.
Per poter ottenere questo risultato, gli hacker contattano l’utente via email o via Sms per convincerlo, con tattiche di phishing, a cliccare su un link. Tale procedura attiva automaticamente un profilo di provisioning su iOS (cioè un sistema usato dagli sviluppatori per testare o distribuire applicazioni) e da quel momento un’applicazione esistente viene aggiornata in modo da trasformarsi in un software malevolo, in grado di sottrarre dati personali. L’esempio scelto da Fireye per illustrare il meccanismo (nel video demo qui sotto) è quello di Gmail.
Masque Attack è pericoloso soprattutto perché l’utente non si accorge della manomissione e continua a usare l’applicazione. Senza cambiamenti di interfaccia, perfettamente “mascherata” da app legittima, questa agisce trasferendo i dati personali su server remoti oppure dirottando denaro per gli acquisti in-app.
“Apple è stata informata in merito a Masque Attack lo scorso luglio”, ha dichiarato una portavoce di Fireye ai giornalisti di The Register, “e per quel che ne sappiamo sta lavorando per risolvere la vulnerabilità”. La portavoce ha anche sottolineato come il trojan Wirelurker sia il primo programma nocivo, fra quelli noti, che sfrutti il meccanismo di Masque Attack.