Potenzialmente pericoloso, ma non per tutti, anzi per pochi. Questo il giudizio che si può dare su Masque Attack, il malware scoperto nel corso delle ore passate e che sta mettendo a rumore il mondo iOS a cui si indirizza tentando di indurre l’utente ad installare applicazioni che sono in realtà dei veri e propri cavalli di troia, in grado di produrre danni molto pesanti. Ad esempio potrebbe essere in grado di farci installare un programma sostituendone uno genuino che abbiamo sul dispositivo con uno che si maschera da quest’ultimo. I danni enormi che possono essere prodotti si possono comprendere se si considera che teoricamente potrebbe essere sostituita la nostra applicazione di home banking con una falsa, che ruba le credenziali di accesso. Potrebbe anche essere sostituita una’app di posta o un browser alternativo. Le uniche app che non possono essere “falsificate” sono quelle di default, del sistema operativo. Tutti i dati comunicati alla applicazione “vera” potrebbero essere letti, se non criptati, dalla applicazione “falsa”
Per capire come questo malware procede e come possiamo difenderci, dobbiamo comprendere dove sta il “buco” che tale non è… Apple non prevede che un’app con lo stesso identificatore di bundle abbia un certificato corrispondente (che poi è legato ad uno sviluppatore), ciò per buone ragioni e a vantaggio di chi crea app. In ogni caso, in conseguenza di questa funzione possiamo essere invitati a scaricare una applicazione via mail o via chat trovandoci con una infetta al posto di quella “buona”. Potrebbe anche essere possibile usare questa tecnica per aggirare il sandboxing e attaccare iOS usando alcune vulnerabilità note, come quelle sfruttate da Pangu.
Un pirata per attaccare un dispositivo deve essere in queste condizioni
- Avere accesso al programma di sviluppo di Apple al Developer Enterprise Program o avere l’ UDID del dispositivo della vittima
- Creare l’applicazione pirata e mascherarla da una che la vittima ha già installato
- Spingere la vittima a scaricare l’applicazione da un sito che non è App Store
- Spingerla a dismettere e acconsentire al messaggio che dirà che quell’applicazione non arriva da una fonte affidabile
Come è possibile notare, cadere vittime di un attacco Masque Attack. In particolare appare piuttosto difficile che qualche pirata si imbatta per caso nel nostro UDID. Per questo viene usato un account Developer Enterprise Program visto che con questo tipo di certificati non è necessario conoscere l’UDID della vittima. Ma una applicazione firmata in base al Developer Enterprise Program ha un certificato revocabile centralmente da Apple, il che rende l’attacco Masque indirizzato non a gruppi di individui, ma a singoli utenti.
Evitare di essere vittime di Masque Attack è relativamente semplice. Basta non aggirare i sistemi di sicurezza che Apple ha messo in atto a vantaggio degli utenti finali
- Non installare nessuna applicazione che non arriva da App Store
- Non accettare l’installazione di applicazioni che lo stesso sistema operativo decreta come non provenienti da fonti affidabili
- Non accettare l’installazione di un’applicazione bollata come proveniente da uno sviluppatore non affidabile
Se pensate di essere stati vittima di Masque Attack, quindi di avere ricevuto applicazioni potenzialmente infette, mentre avevate iOS 7 (la procedura non vale se l’operazione è stata svolta avendo iOS 8)
- Andate in Impostazioni > Generali > Profili e, se ci sono profili installati, rimuoverli.
- Cambiate le password e le login usate con quella applicazione
- Eventualmente ripristinate da zero iPhone e reinstallate tutte le applicazioni di App Store
Con iOS 8 Apple non permette di vedere eventuali profili, ma è comunque possibile utilizzare il tool iPhone Configuration Utility oppure Xcode per visualizzare la lista e cancellarli manualmente. Se pensate di aver installato un’applicazione modificata da Masque Attack, cancellatela e reinstallatela da App Store, cambiate le password