A dicembre, la società di sicurezza informatica FireEye ha scoperto un bug nell’ultima versione di iOS di Apple, soprannominato “Masque Attack”, che consente alle app dannose di sostituire app legittime con lo stesso nome, ma non è stato in grado di indicare esempi concreti dell'exploit in utilizzo. Da allora il team ha scoperto tre attacchi derivati: Masque Extension, Manifest Masque e Plugin Masque - e ha inoltre rivelato prove che il Masque Attack è stato utilizzato per impersonare messaggi popolari app.
Aggiornato il 08-06-2015 da Kyle Wiggers: Aggiunti dettagli sui derivati di Masque Attack e prove dell'exploit in natura.
Video consigliati
COME FireEye spiegato qualche mese fa, l'originale Masque Attack iOS 7 e 8 consente agli hacker di installare app false su dispositivi iOS tramite e-mail o messaggi di testo se i nomi delle app corrispondono. Finché l'hacker assegna all'app falsa e infetta lo stesso nome di quella vera, gli hacker possono infiltrarsi nel dispositivo. Naturalmente, gli utenti iOS dovranno comunque scaricare l'app tramite SMS o e-mail, invece di andare direttamente sull'App Store e cercare la stessa app.
Tuttavia, se gli utenti installano l'app utilizzando il collegamento fornito dagli hacker, viene catturata la versione dannosa sull'app reale sull'iPhone o sull'iPad dell'utente, da dove può quindi rubare i dati personali dell'utente informazione. Anche dopo che gli utenti hanno riavviato il telefono, l'app dannosa continuerà a funzionare, ha affermato FireEye. "Si tratta di una vulnerabilità molto potente ed è facile da sfruttare", ha affermato Tao Wei, ricercatore senior dello staff di FireEye, secondo Reuters.
Nuovi exploit
Un altro gruppo di ricercatori di TrendMicro ha scoperto che, poiché molte app iOS non dispongono di crittografia, il bug Masque Attack può prendere di mira anche alcune app legittime. Gli hacker possono accedere ai dati sensibili non crittografati dalle app legittime già esistenti sul telefono. Naturalmente, affinché funzioni, gli utenti devono comunque scaricare un'app da un collegamento o un'e-mail, anziché dall'App Store. In altre parole, il Masque Attack probabilmente non influenzerà ancora la maggior parte degli utenti, ma potrebbe essere una brutta notizia per gli utenti aziendali che inviano agli utenti app speciali sviluppate internamente.
Ma gli exploit appena scoperto da FireEye non richiedono tali astuzie. Masque Extension sfrutta le estensioni delle app iOS 8 - hook che consentono alle app di "parlare" tra loro, in sostanza - per ottenere l'accesso ai dati all'interno di altre app. "Un utente malintenzionato può indurre una vittima a installare un'app interna […] e ad abilitare l'estensione dannosa dell'app […] sul suo dispositivo", ha affermato FireEye.
Altri exploit – Manifest Masque e Plugin Masque – consentono agli hacker di prendere il controllo delle app e della connessione degli utenti. Manifest Masque, a cui è stata parzialmente applicata una patch in iOS 8.4, può rendere corrotte e non avviabili anche le app principali come Health, Watch e Apple Pay. Il potenziale di Plugin Masque è più preoccupante: si presenta come un file VPN connessione e monitor tutto il traffico Internet.
Osservato in natura
Alla conferenza degli hacker Black Hat a Las Vegas, I ricercatori di FireEye hanno affermato che la vulnerabilità Masque Attack è stato utilizzato per installare app di messaggistica false che imitavano messenger di terze parti come Facebook, WhatsApp, Skype e altri. Inoltre, hanno rivelato che i clienti della società di sorveglianza italiana Hacking Team, ideatrice di Masque Attack, utilizzano l’exploit da mesi per monitorare di nascosto gli iPhone.
Le prove sono emerse dai database di Hacking Team, i cui contenuti sono stati pubblicati da un hacker il mese scorso. Secondo le e-mail interne dell’azienda rivelate da FireEye, Hacking Team ha creato un’imitazione di quella di Apple App Edicola in grado di scaricare 11 imitazioni aggiuntive: versioni dannose di WhatsApp, Twitter, Facebook,
Per fortuna, però, il rischio di future infezioni è basso: l’exploit di Hacking Team richiedeva l’accesso fisico agli iPhone presi di mira. Tuttavia, il ricercatore di FireEye Zhaofeng Chen ha raccomandato agli utenti iPhone di “aggiornare i propri dispositivi all’ultima versione di iOS e di prestare molta attenzione alle modalità con cui scaricano le loro app”.
Poco dopo che FireEye ha rivelato il bug Masque Attack, il governo federale ha emesso un avvertimento sulla vulnerabilità Reuters. Alla luce del panico suscitato dal governo e dai rapporti di FireEye, Apple ha finalmente risposto ai media sulla minaccia rappresentata da Masque Attack. Apple ha assicurato agli utenti iOS che nessuno è stato ancora colpito dal malware ed è solo qualcosa che i ricercatori hanno scoperto. L'azienda ha pubblicizzato la sicurezza integrata di iOS e ha assicurato agli utenti che non accadrà loro nulla finché scaricheranno solo app direttamente dall'App Store.
"Abbiamo progettato OS X e iOS con misure di sicurezza integrate per aiutare a proteggere i clienti e avvisarli prima di installare software potenzialmente dannoso", ha detto un portavoce di Apple iPiù. “Non siamo a conoscenza di alcun cliente che sia stato effettivamente colpito da questo attacco. Incoraggiamo i clienti a scaricare solo da fonti attendibili come l'App Store e a prestare attenzione a eventuali avvisi mentre scaricano le app. Gli utenti aziendali che installano app personalizzate dovrebbero installare le app dal sito Web sicuro della propria azienda.
Al momento della stesura di questo articolo, FireEye ha confermato che Masque Attack può influenzare qualsiasi dispositivo con iOS 7.1.1, 7.1.2, 8.0, 8.1 e 8.1.1 beta, indipendentemente dal fatto che tu abbia effettuato il jailbreak del tuo dispositivo. Masque Attack e i suoi derivati sono stati parzialmente patchati in iOS 8.4, ma nel frattempo si consiglia agli utenti di astenersi dal scaricare qualsiasi app da fonti diverse dall'App Store ufficiale e per interrompere il download di app da popup, e-mail, pagine Web o altri contenuti stranieri fonti.
Aggiornamenti:
Aggiornato il 21-11-2014 da Malarie Gokey: Aggiunto rapporto di ricercatori che hanno scoperto una maggiore vulnerabilità nel bug Masque Attack.
Aggiornato il 14-11-2014 da Malarie Gokey: Aggiunti commenti da parte di Apple che sminuiscono la gravità della minaccia rappresentata da Masque Attack.
Raccomandazioni degli editori
- iPadOS 17 ha appena migliorato ulteriormente la mia funzionalità preferita dell'iPad
- Hai un iPhone, iPad o Apple Watch? Devi aggiornarlo adesso
- 11 funzionalità di iOS 17 che non vedo l'ora di utilizzare sul mio iPhone
- iOS 17: Apple non ha aggiunto l'unica funzionalità che stavo aspettando
- iOS 17 non è l'aggiornamento per iPhone che speravo
