Em dezembro, a empresa de segurança cibernética FireEye descobriu um bug na versão mais recente do iOS da Apple, apelidado de “Masque Attack”, que permite que aplicativos maliciosos substituam aplicativos legítimos de mesmo nome, mas não foi capaz de apontar exemplos concretos da exploração em usar. Desde então, a equipe descobriu três ataques derivados – Masque Extension, Manifest Masque, Plugin Masque – e, além disso, revelou evidências de que o Masque Attack foi usado para personificar mensagens populares aplicativos.
Atualizado em 06/08/2015 por Kyle Wiggers: Adicionados detalhes de derivados do Masque Attack e evidências da exploração em estado selvagem.
Vídeos recomendados
Como FogoEye explicado há alguns meses, o Masque Attack iOS 7 e 8 original permite que hackers instalem aplicativos falsos em dispositivos iOS por e-mail ou mensagens de texto, se os nomes dos aplicativos corresponderem. Contanto que o hacker dê ao aplicativo falso e infectado o mesmo nome do aplicativo real, os hackers podem se infiltrar no dispositivo. É claro que os usuários do iOS ainda precisam baixar o aplicativo por mensagem de texto ou e-mail, em vez de ir diretamente à App Store e procurar o mesmo aplicativo.
No entanto, se os usuários instalarem o aplicativo usando o link fornecido pelos hackers, a versão maliciosa será sobre o aplicativo real no iPhone ou iPad do usuário, onde pode roubar dados pessoais do usuário Informação. Mesmo depois que os usuários reiniciarem o telefone, o aplicativo malicioso ainda funcionará, disse a FireEye. “É uma vulnerabilidade muito poderosa e fácil de explorar”, disse Tao Wei, cientista sênior de pesquisa da FireEye, de acordo com Reuters.
Novas explorações
Outro grupo de pesquisadores da Tendência Micro descobri que, como muitos aplicativos iOS não possuem criptografia, o bug Masque Attack também pode atingir alguns aplicativos legítimos. Os hackers podem acessar dados confidenciais que não são criptografados de aplicativos legítimos que já existem no telefone. É claro que, para que isso funcione, os usuários ainda precisam baixar um aplicativo por meio de um link ou e-mail, em vez de na App Store. Em outras palavras, o Masque Attack provavelmente ainda não afetará a maioria dos usuários, mas pode ser uma má notícia para usuários corporativos que enviam aplicativos especiais e desenvolvidos internamente aos usuários.
Mas as façanhas recentemente descoberto pela FireEye não requer tal manipulação. A Masque Extension aproveita as extensões de aplicativos do iOS 8 – ganchos que permitem que os aplicativos “conversem” entre si, em essência – para obter acesso a dados dentro de outros aplicativos. “Um invasor pode atrair uma vítima para instalar um aplicativo interno […] e ativar a extensão maliciosa do […] aplicativo em seu dispositivo”, disse FireEye.
Outras explorações – Manifest Masque e Plugin Masque – permitem que hackers sequestrem aplicativos e conexões dos usuários. O Manifest Masque, que foi parcialmente corrigido no iOS 8.4, pode tornar até mesmo aplicativos essenciais como Health, Watch e Apple Pay corrompidos e inacessíveis. O potencial do Plugin Masque é mais preocupante — ele se apresenta como um VPN conexão e monitores todo o tráfego da Internet.
Observado na natureza
Na conferência de hackers Black Hat em Las Vegas, Pesquisadores da FireEye disseram que a vulnerabilidade do Masque Attack foi usado para instalar aplicativos de mensagens falsos que imitam mensageiros de terceiros, como Facebook, WhatsApp, Skype e outros. Além disso, eles revelaram que os clientes da empresa italiana de vigilância Hacking Team, criadora do Masque Attack, têm usado a exploração há meses para monitorar iPhones sub-repticiamente.
Evidências surgiram dos bancos de dados do Hacking Team, cujo conteúdo foi publicado por um hacker no mês passado. De acordo com e-mails internos da empresa revelados pela FireEye, a Hacking Team criou uma imitação do Apple Aplicativo Newstand capaz de baixar 11 imitadores adicionais: versões maliciosas do WhatsApp, Twitter, Facebook,
Felizmente, porém, o risco de infecção futura é baixo – a exploração do Hacking Team exigia acesso físico aos iPhones visados. Ainda assim, o pesquisador da FireEye, Zhaofeng Chen, recomendou que os usuários do iPhone “atualizem seus dispositivos para a versão mais recente do iOS e prestem muita atenção aos meios pelos quais baixam seus aplicativos”.
Pouco depois da FireEye revelar o bug do Masque Attack, o governo federal emitiu um alerta sobre a vulnerabilidade, de acordo com Reuters. À luz do pânico inspirado pelo governo e pelos relatórios da FireEye, a Apple finalmente emitiu uma resposta à mídia sobre a ameaça representada pelo Masque Attack. A Apple garantiu aos usuários do iOS que ninguém foi afetado pelo malware ainda e é apenas algo que os pesquisadores descobriram. A empresa elogiou a segurança integrada do iOS e garantiu aos usuários que nada acontecerá com eles, desde que baixem aplicativos diretamente da App Store.
“Projetamos o OS X e o iOS com proteções de segurança integradas para ajudar a proteger os clientes e avisá-los antes de instalar software potencialmente malicioso”, disse um porta-voz da Apple. Eu mais. “Não temos conhecimento de nenhum cliente que tenha sido realmente afetado por este ataque. Incentivamos os clientes a fazer download apenas de fontes confiáveis, como a App Store, e a prestar atenção a quaisquer avisos ao baixar aplicativos. Os usuários corporativos que instalam aplicativos personalizados devem instalar aplicativos do site seguro de sua empresa.”
No momento em que este livro foi escrito, a FireEye confirmou que o Masque Attack pode afetar qualquer dispositivo executando iOS 7.1.1, 7.1.2, 8.0, 8.1 e 8.1.1 beta, independentemente de você ter desbloqueado seu dispositivo. Masque Attack e seus derivados foram parcialmente corrigidos no iOS 8.4, mas enquanto isso, os usuários são aconselhados a evitar downloads quaisquer aplicativos de fontes que não sejam a App Store oficial e parar de baixar aplicativos de pop-ups, e-mails, páginas da Web ou outros aplicativos estrangeiros fontes.
Atualizações:
Atualizado em 21/11/2014 por Malarie Gokey: Adicionado relatório de pesquisadores que descobriram uma vulnerabilidade maior no bug Masque Attack.
Atualizado em 14/11/2014 por Malarie Gokey: Adicionados comentários da Apple descontando a gravidade da ameaça representada pelo Masque Attack.
Recomendações dos Editores
- O iPadOS 17 tornou meu recurso favorito do iPad ainda melhor
- Tem um iPhone, iPad ou Apple Watch? Você precisa atualizá-lo agora
- 11 recursos do iOS 17 que mal posso esperar para usar no meu iPhone
- iOS 17: a Apple não adicionou o recurso que eu estava esperando
- iOS 17 não é a atualização do iPhone que eu esperava
