Gli hacker possono rubare dati con l'attacco Masque Attack II all'iPhone e all'iPad di Apple

Table Of Contents

• Masque Attack II: Un’altra grave vulnerabilità è stata rilevata in Apple iOS che può portare al furto di dati degli utenti aziendali.
• Masque II : Dirottamento dell’URL

Masque Attack II: Un’altra grave vulnerabilità è stata rilevata in Apple iOS che può portare al furto di dati degli utenti aziendali.

Nel novembre 2014, i ricercatori di Fire Eye hanno identificato un “Masque Attack” che può essere utilizzato dagli attaccanti per sostituire un’app genuina con un’altra carica di malware utilizzando SMS, email o navigazione web. Apple sembra aver risolto questo problema nell’iOS 8.1.3. Ora, i ricercatori di FireEye hanno scoperto un nuovo bug che può essere doppiamente pericoloso rispetto a Masque. Giustamente chiamato Masque II dai ricercatori di FireEye, hanno avvertito che questo bug può essere sfruttato per hackerare iPhone e iPad.

Masque II : Dirottamento dell’URL

I ricercatori di FireEye hanno notato che Masque Attack II è composto da 2 parti:

a) Bypass del Prompt di Fiducia e,

b) Dirottamento dello Schema URL.

Hui Xue e il suo team di ricercatori hanno sostenuto che iOS 8.1.3 è rinforzato contro il “Bypass del Prompt” ed è ancora vulnerabile contro il “dirottamento dello schema URL di iOS”.

Cercheremo di capire questo in termini semplici.

1. Bypass del Prompt di Fiducia: Ogni volta che l’utente clicca su un link in SMS o in qualsiasi email o anche nella Google Inbox; Apple iOS lancerà l’app aziendale firmata senza chiedere il permesso all’utente. Di solito, se l’utente scarica un’app particolare dall’App Store per la prima volta, appare un prompt che chiede “Fidati” o “Non Fidarti”. In questo caso, poiché l’utente ha cliccato sul link tramite lo schema URL, l’app verrà scaricata direttamente senza il prompt.

Nei casi studiati da FireEye, anche se l’utente aveva precedentemente chiaramente detto “Non Fidarti” a un’app non fidata, iOS ha ignorato il prompt e ha scaricato l’app. Fire Eye ha portato questo problema all’attenzione di Apple.

Secondo l’articolo di FireEye: “Un attaccante può sfruttare questo problema per lanciare un’app contenente un attacco Masque. I dirottatori possono distribuire un malware firmato da un’azienda che registra schemi URL di app identici a quelli utilizzati da app legittime e popolari e quindi dirottare gli schemi URL delle app legittime e imitare la loro interfaccia utente per effettuare attacchi di phishing, ad esempio rubando le credenziali di accesso”. Apple iOS non può proteggere i suoi utenti contro questo perché l’attacco avverrebbe a livello di prompt.

2. Dirottamento dello Schema URL: Questo è più un problema di funzionalità che un attacco di malware. È stato osservato che Apple iOS consente alle app di diversi sviluppatori di condividere gli stessi schemi URL. Ancora secondo i ricercatori di FireEye: “Gli attaccanti possono pubblicare un’app “aggressiva” nell’App Store, oppure creare e distribuire un malware firmato da un’azienda/ad-hoc che registra schemi URL di app identici a quelli delle app legittime e popolari. Attraverso questo, gli attaccanti possono imitare l’interfaccia utente di un’app legittima per effettuare attacchi di phishing per rubare le credenziali di accesso o raccogliere dati destinati a essere condivisi tra due app fidate.” Ora, in termini semplificati, questo significa che gli utenti potrebbero finire per scaricare un’app malevola secondo l’intenzione dei dirottatori invece di quella legittima, che potrebbe quindi rubare informazioni personali e finanziarie dell’utente di iPhone/iPad.

Secondo il team di FireEye composto dai signori Hui Xue, Zhaofeng Chen, Song Jin, Yulong Zhang e Tao Wei, gli utenti di iPhone e iPad devono prestare maggiore attenzione contro il Masque Attack II poiché non è ancora stato mitigato.

Rimedio probabile suggerito agli utenti di Apple iOS :

• Aggiornare il proprio dispositivo alla versione 8.1.3 il prima possibile

• Ogni volta che gli utenti ricevono un link in SMS o email o da qualche sito web, prestare attenzione poiché potrebbe scaricare malware.

FireEye afferma di aver divulgato pubblicamente la vulnerabilità poiché Apple ha scelto di ignorare la loro divulgazione privata. Puoi vedere il video di Proof-of-Concept qui sotto :