App fasulle ingannano e infettano l’iPhone, l’allarme di Palo Alto

Un nuovo pericolo made in China sfata la presunta inviolabilità degli iPhone o almeno quella degli iPhone “regolari”, cioè non sottoposti a jailbreak. Si chiama AceDeceiver ed è un malware di fabbricazione cinese, scoperto da Palo Alto Networks. Si tratta di una minaccia capace di infettare i dispositivi iOS a partire da un attacco-man-in-the middle che sfrutta alcune vulnerabilità di FairPlay, la tecnologia di Drm del sistema operativo di Apple. In parole povere, per qualificarsi come potenziale vittima all’utente non è richiesto di fare alcunché, se non di frequentare App Store e iTunes scaricando applicazioni che – si presume – sono già state controllate e approvate da Apple.

Nell’attacco man-in-the-middle tramite FairPlay, ha spiegato l’esperto di sicurezza di Palo Alto, Claud Xiao, i criminali “acquistano un’applicazione dall’App Store, poi intercettano e salvano il codice di autorizzazione”. La tecnica non è nuova, ma anzi è in circolazione fin dal 2013. Ora, però, per la prima volta è stata sfruttata per diffondere malware. I cybercriminali cinesi, infatti, “hanno sviluppato un software per Pc che simula il comportamento del client di iTunes e che inganna il dispositivo iOS inducendolo a credere che l’applicazione sia stata acquistata dall’utente”, ha illustrato Xiao. Con questa procedura, dunque, per un malintenzionato diventa teoricamente possibile installare sullo smartphone qualsiasi applicazione a insaputa del sul proprietario.

Da tempo ormai il mito dell’inviolabilità di iOS è stato sfatato, ma con AceDeceiver si compie un passo ulteriore. I malware indirizzati all’iPhone, infatti, sono solitamente contenuti in applicazioni reperibili in luoghi diversi dall’App Store e installabili solo su melafonini manomessi dall’utente, cioè “sbloccati” tramite jailbreak. Una pratica rischiosa, che però nel caso di AceDeceiver non viene nemmeno chiamata in causa. Anche attenendosi alle regole di Apple, dunque, si può incappare nel rischio.

Dal luglio del 2015 tre declinazioni AceDeceiver hanno fatto la loro comparsa sull’App Store, sotto le mentite spoglie di applicazioni innocue: all’apparenza strumenti per scaricare sfondi per il telefono, in realtà servivano ai criminali per procurarsi falsi codici di autorizzazione, da usare in un secondo momento per eseguire attacchi. A queste tre app se ne aggiunge una quarta, Aisi Helper, presentata come strumento di gestione dell’iPhone tramite Windows ma in realtà veicolo per installare sul dispositivo iOS delle applicazioni malevole. Queste ultime, una volta scaricate, chiedevano all’utente le credenziali dei loro account Apple per poi caricarle sui server AceDeceiver.

l'interfaccia di i4picture, una delle false app poi rimosse dal marketplace di Apple

Peraltro l’azienda di Cupertino è corsa ai ripari, rimuovendo dall’App Store le tre applicazioni usate dagli hacker per ottenere i codici di autorizzazione. Ma il contagio potrebbe ancora diffondersi nel caso un untete colleghi il suo iPhone a un computer infetto, dato che gli hacker hanno ancora fra le mani i codici necessari per installare applicazioni contraffatte. Per quanto finora siano stati osservati casi di infezione nel solo territorio cinese, secondo i ricercatori di Palo Alto l’attacco potrebbe propagarsi anche in altre geografie.