Gli hacker possono ottenere accesso completo al tuo iPhone/iPad con queste 2846 App con backdoor sull'Apple App Store

I ricercatori scoprono una backdoor in 2846 App iOS che possono consentire accesso completo agli hacker

I ricercatori di FireEye hanno scoperto che migliaia di App elencate sull’Apple App Store hanno una backdoor che può consentire ad attori malintenzionati di accedere a dati sensibili degli utenti e alla funzionalità del dispositivo. La ricerca è stata condotta da un team di ricercatori di sicurezza di FireEye composto da Zhaofeng Chen, Adrian Mettler, Peter Gilbert e Yong Kang, pubblicata oggi sul loro sito web.

Secondo i ricercatori, migliaia di App iOS che sono state verificate dal team di sicurezza Apple e elencate sull’Apple App Store contengono tale backdoor. Le App malevole hanno versioni “backdoored” potenziali di una libreria pubblicitaria incorporate in migliaia di app iOS originariamente pubblicate nell’Apple App Store, secondo i ricercatori.

Il fatto sorprendente scoperto dai ricercatori è che la ‘potenziale’ backdoor potrebbe essere stata controllata da remoto dagli hacker caricando codice JavaScript da un server remoto per eseguire le seguenti azioni su un dispositivo iOS:

• Catturare audio e screenshot

• Monitorare e caricare la posizione del dispositivo

• Leggere/eliminare/creare/modificare file nel contenitore dati dell’app

• Leggere/scrivere/reimpostare il portachiavi dell’app (ad es., archiviazione password dell’app)

• Inviare dati crittografati a server remoti

• Aprire schemi URL per identificare e avviare altre app installate sul dispositivo

• “Side-loadare” app non App Store chiedendo all’utente di cliccare un pulsante “Installa”

I ricercatori hanno scoperto che la libreria pubblicitaria incriminata è una versione del mobiSage SDK. Hanno trovato 17 versioni distinte della libreria pubblicitaria potenzialmente con backdoor: codici versione da 5.3.3 a 6.4.4. Tuttavia, nell’ultima versione del mobiSage SDK pubblicamente rilasciata da adSage – versione 7.0.5 – le potenziali backdoor non sono presenti. Non è chiaro se le versioni potenzialmente con backdoor della libreria pubblicitaria siano state rilasciate da adSage o se siano state create e/o compromesse da una terza parte malintenzionata.

A partire dal 4 novembre, i ricercatori di FireEye hanno identificato 2.846 app iOS contenenti le versioni potenzialmente con backdoor del mobiSage SDK. I ricercatori hanno anche trovato più di 900 tentativi di contattare un server adSage in grado di fornire codice JavaScript per controllare le backdoor.

FireEye afferma di aver informato Apple dell’elenco completo delle app interessate e dei dettagli tecnici il 21 ottobre 2015.

I ricercatori non hanno trovato le App difettose sfruttate nel mondo reale, tuttavia hanno notato che nelle mani sbagliate, il codice JavaScript malevolo che attiva le potenziali backdoor potrebbe essere pubblicato per essere eventualmente scaricato ed eseguito dalle app interessate.