Masque Attack, la vulnerabilità di iOS che installa app non ufficiali

Cliccate per installare un gioco su iPhone e iPad, e invece alla fine vi ritrovate con un'app di posta elettronica che ruba i dati della vostra carta di credito. Non è fantascienza, ma una minaccia reale chiamata Masque Attack.
Masque Attack, la vulnerabilità di iOS che installa app non ufficiali
Cliccate per installare un gioco su iPhone e iPad, e invece alla fine vi ritrovate con un'app di posta elettronica che ruba i dati della vostra carta di credito. Non è fantascienza, ma una minaccia reale chiamata Masque Attack.

Cos’è e come funziona Masque Attack

Su iOS è stata scovata una nuova vulnerabilità molto più preoccupante di WireLurker e che potrebbe portare a una contaminazione di massa dei telefoni e tablet Apple. La falla si chiama Masque Attack e consente ad un malintenzionato di installare app di terze parti che simulano e rimpiazzano quelle ufficiali. Risultato: pensate di leggere la posta o di connettervi alla banca col software più sicuro, e invece qualcuno vi sta spiando.

La scoperta l’hanno fatta per primi quelli di FireEye, società specializza in sicurezza mobile. In pratica, Masque Attack consiste in un attacco di phishing che si esplica attraverso dei link ad applicazioni non ufficiali che sembrano in tutto e per tutto provenire dall’App Store. Nell’esempio riportato, un’app potrebbe mascherarsi con un messaggio che dice “hey, provate l’ultima versione di Flappy Bird” ma una volta toccato il collegamento, il sistema trasferisce l’utente ad un sito che chiede installare tutt’altra app. Per esempio una versione modificata di Gmail che si sostituisce a quella già presente sul dispositivo, il che la rende praticamente impossibile da individuare.

Il meccanismo di propagazione è sempre lo stesso: sfruttando le funzionalità di enterprise provisioning previste in iOS. A quel punto, l’app fasulla può caricare mail, SMS, inoltrare chiamate, e molto altro per la semplice ragione che “iOS non verifica i certificati delle app col medesimo identificatore di bundle.” Detto in parole semplici: basta che un’app si presenti al sistema col nome e cognome giusto, e iOS le aprirà la porta senza verificare la carta d’identità.

Perché fa paura


E questo è niente. Una volta che si installa sulla versione originale, l’app contraffatta ha perfino accesso ai dati che erano dell’app originale:

Masque Attacks costituisce una minaccia molto più grossa di WireLurker. Masque Attacks può rimpiazzare le app autentiche, per esempio di banca o di mail, utilizzando un malware scaricato da Internet. Ciò implica che chiunque può rubare le credenziali della banca di un utente sostituendo l’app della banca con un malware dotato della identica interfaccia grafica. Curiosamente, il malware ha perfino accesso alla cartella dell’app originale in cui sono conservati i dati locali, che non vengono rimossi al momento della sostituzione dell’app. Questi dati contengono la memoria cache delle mail e dei token di login con cui i malware possono effettuare il login diretto.

Cosa potete fare in attesa di un update

E ora veniamo alle pessime notizie. Masque Attack funziona su iOS 7.1.1, 7.1.2, 8.0, 8.1, e perfino su iOS 8.1.1 Beta; e mentre su iOS 7 è possibile consultare i certificati installati in Impostazioni > Generali > Certificati, su iOS 8 la feature è stata eliminata, il che rende molto più complicata una eventuale auto-diagnosi. Se non altro, Apple è già a conoscenza del problema e sta lavorando ad una patch ad hoc. In attesa di un aggiornamento ufficiale, quindi, l’unica sicurezza è quella di adottare un comportamento virtuoso: evitate di installare robaccia suggerita con dei link via mail o via SMS; piuttosto, ogni volta appuntatevi il titolo dell’applicazione, cercatelo su App Store e risolvete il problema alla radice.

Ti consigliamo anche

Link copiato negli appunti