Apple ha deciso di rispondere alla questione legata alla vulnerabilità nota come Masque Attack, vulnerabilità di iOS che permette (in linea teorica) di sostituire applicazioni lecite con altre malevole, senza che l’utente se ne accorga visivamente (ne abbiamo già parlato qui).
La società ha risposto alle critiche sulla sicurezza affermando che la problematica sia solamente “potenziale” e come al momento “non si abbia notizia di device affetti o colpiti”.
Masque Attack è stato scoperto qualche giorno fa da una società di sicurezza, ma al momento l’applicabilità sui device Apple è solo teorica.
Come si svolge l’attacco? Un malintenzionato può sfruttare la capacità degli sviluppatori di installare applicazioni al di fuori di App Store, inoltrando all’utente un link per il test dell’app. Avviato il download, anziché l’installazione di una nuova App ne viene sostituita una già esistente tra quelle installate e del tutto lecita ai controlli Apple, sostituendo di fatto un app sana con un’app malevola (o potenzialmente tale) con la stessa icona e nome, senza che l’utente noti il cambio. La tecnica è molto simile al phishing, poiché si avvale di un falso link per il download che il consumatore percepisce come legittimo.
Questo inevitabilmente comporta vari rischi per l’utilizzatore che va dalla raccolta indebita di dati personali ad altre informazioni sensibili, se non proprio l’installazione di virus sul device.
In una dichiarazione rilasciata per la testata iMore, Apple ha voluto sottolineare come le possibilità di un simile attacco siano molto remote, soprattutto se l’utente ha attivato tutte le opzioni di sicurezza sul proprio iPhone o iPad.
Di seguito il comunicato Apple:
Abbiamo progettato OS X e iOS con delle incorporate garanzie di sicurezza, per aiutare i clienti a proteggersi e avvisarli prima di installare del software potenzialmente malevolo. Non siamo a conoscenza di nessun cliente che sia stato in realtà vittima di questo attacco. Incoraggiamo i consumatori a scaricare software unicamente da fonti affidabili come App Store e di prestare attenzione a ogni avviso mentre scaricano l’app. Gli utenti aziendali che installano app personalizzate, dovrebbero farlo utilizzano unicamente il sito sicuro della loro compagnia.