Guai seri per Apple in materia di sicurezza. L’allarme è stato lanciato da FireEye, società californiana specializzata nella sicurezza informatica, in seguito alla comparsa sul web di un malware che si è diffuso in Cina colpendo migliaia di utenti Apple nei giorni scorsi. Secondo gli analisti di FireEye il trojan individuato in Cina sfrutta alcuni aspetti di una vulnerabilità scoperta (e comunicata ad Apple) la scorsa estate e definita “Masque Attack”.

Risale solo a qualche giorno fa l’allarme riguardante l’utilizzazione di questa tecnica che favorisce l’installazione di un malware su iOS, quando Palo Alto Networks ha isolato e analizzato il trojan WireLurker. Questo era stato inserito in oltre 400 app per Mac OS X disponibili per il download sul Maiyadi App Store, un market “indipendente” cinese (Maiyadi) che mette a disposizione app per iOS e Mac OS X. Wirelurker agisce in due momenti: prima infetta il computer e, una volta che a questo viene collegato un dispositivo iOS via USB, è in grado di installare nuove app utilizzando il sistema dei profili per aggirare i sistemi di protezione. Il nome è in prestito dal gergo della cultura internet. “Lurker”, infatti, è un utente silenzioso che però scruta la vita di forum e social network senza prendervi parte. Inoltre, a differenza dei precedenti episodi di attacchi, in questo caso il device affetto non ha alcun bisogno di essere jailbroken.

wirelurker-appleGli informatici della società di sicurezza americana hanno mostrato attraverso un video il modo in cui un pirata informatico potrebbe sostituire un’app originale, ottenendo l’accesso anche ai relativi dati memorizzati sullo smartphone o sul tablet… In una parola, acquisisce le vostre “credenziali”. Il che significa, per esempio, che nel caso in cui venisse bersagliata un’applicazione per l’home banking, il malware otterrebbe tutti i dati per accedere al conto corrente dell’utente. È bene precisare, però, che affinché questo possa accadere è necessario che il proprietario installi l’app da un sito web o da un mercato diverso dall’App Store ufficiale. Operazione questa che è possibile soltanto se si è sbloccato il sistema attraverso il cosiddetto jailbreak  (severamente vietata dalle condizioni d’uso di Apple). Ma già lo scorso anno alcuni market cinesi sono riusciti a trovare il modo di forzare l’installazione anche sui dispositivi “integri”, introducendo sul mercato diverse app pirata scaricabili anche dagli utenti che non avevano eseguito il jailbreak sui loro dispositivi. La tecnica utilizzata consisterebbe nell’uso del programma iOS Developer Enterprise di Apple che consente alle aziende di sviluppare delle app proprietarie e installarle sui dispositivi dei loro dipendenti. La procedura prevede il caricamento di un profilo particolare, abbinato a un certificato digitale per ogni app. Un rompicapo per gli studiosi di security.

Secondo quanto scoperto da FireEye, però, l’installazione può avvenire anche attraverso un semplice collegamento Internet e non necessariamente solo attraverso il collegamento via USB. Un’operazione del genere potrebbe portare alla sostituzione di una qualsiasi app con una “copia” contenente un malware. Ma c’è di più, le app per iOS, infatti, sono identificate da un nome che può essere diverso da quello che l’utente vede al momento dell’installazione. In questo modo il proprietario di un dispositivo iOS potrebbe essere indotto a scaricare quello che pensa sia ad esempio un videogioco, mentre in realtà sta installando una versione infetta di gmail o della sua app dedicata alla gestione dell’home banking. FireEye ha precisato però che la vulnerabilità non coinvolge le app predefinite di iOS, come mobile Safari. È bene sottolineare, in ogni caso, che la procedura per l’installazione di app che fanno riferimento a un profilo aziendale presenta un processo particolare che prevede una serie di conferme da parte dell’utente. In pratica chi sta scaricando una app “a rischio” ha a disposizione molti elementi per capire che qualcosa non va. Per quanto riguarda Apple, al momento l’azienda di Cupertino si limita a raccomandare agli utenti di installare app provenienti solo da fonti sicure, ma Masque Attack è in agguato, e considerati gli avvertimenti provenienti dagli informatici americani, se si possiede un melafonino c’è da stare poco tranquilli.

Apple, dopo aver bloccato parzialmente la minaccia, esorta gli utenti ad utilizzare un anti-malware Mac, ed a leggere ogni fonte da cui le app installate provengono, affinché non possano sfruttare eventuali disattenzioni degli utenti.