Qualche giorno fa vi abbiamo parlato di WireLurker, un malware/trojan che colpisce iOS e OS X, in grado di diffondersi a quanto pare anche tramite il caricabatterie dello smartphone. Sfortunatamente per Apple, la security firm FireEye ha scoperto un’altra vulnerabilità nel sistema operativo iOS; fortunatamente, invece, questa ha modalità di trasmissione più che convenzionali.
Si chiama Masque Attack e usa una vulnerabilità nei profili aziendali di iOS, profili che permettono di caricare app senza passare per l’App Store, principalmente per fini di sviluppo. Masque Attack viene sfruttata installando un’app da store o link di terze parti senza passare per l’App Store: la sua particolarità è che, una volta installata, l’app malevola è in grado di sostituirsi ad un’app realmente esistente, prelevando da essa i dati e inviandoli ad un server.
Ad esempio, l’app cattiva potrebbe sostituire l’app Google Mail, prelevare mail e dati da essa e caricarli su un server remoto, continuando ad agire indisturbata finché l’utente non si accorge della sostituzione – cosa abbastanza complessa, in molti casi. Ciò succede perché la vulnerabilità Masque Attack permette ad un’app non “originale” di usare lo stesso identificatore univoco associato all’app “originale” (bundle identifier), così che il sistema operativo la riconosca come autentica.
Al momento Apple non ha rilasciato commenti sulla questione, tuttavia – a differenza di WireLurker – per evitare di essere infetti basta non installare app esterne ad iTunes e all’App Store!
Non installate app da sorgenti di terze parti esterne all’App store di Apple o l’organizzazione stessa.
Non cliccate su “Installa” su un pop-up da una pagina web di terze parti, come mostrato in figura 1(c), a prescindere da cosa il pop-up millanti sull’app- Il pop-up può mostrare titoli attraenti modificati dall’utente malintenzionato.
Quando aprite un’app, se iOS mostra un messaggio con su scritto “Untrusted App Developer”, come mostrato in figura 3, cliccate “Don’t trust” e installate immediatamente l’app.