Seria vulnerabilità di sicurezza Zero-day di Apple espone sia Keychain che le password delle app agli attaccanti

TL;DR – I ricercatori di sicurezza scoprono un grave sfruttamento Zero-day in Mac OS X e iOS che può essere sfruttato per rubare i dati delle app, le password e varie altre credenziali.

Un gruppo di sei ricercatori di sicurezza dell’Università dell’Indiana e del Georgia Institute of Technology ha trovato una seria vulnerabilità di sicurezza Zero-day di Apple sia in iOS che in Mac OS X, che consente al malware di ottenere accesso non autorizzato alle credenziali delle app del dispositivo, aiutando così gli attaccanti a rubare dati sensibili degli utenti come le password di iCloud, dell’app Mail e tutte le password web memorizzate da Google Chrome. In breve, questo sfruttamento esporrà direttamente il Keychain di Apple e altre app, comprese quelle di terze parti.

Questa vulnerabilità è stata confermata da Apple, Google Chrome e altri.

La ricerca è stata pubblicata in un documento intitolato Accesso non autorizzato alle risorse tra app su MAC OS X e iOS. I ricercatori coinvolti erano: Xing; Xiaolong Bai; XiaoFeng Wang; e Kai Chen, insieme a Tongxin Li, dell’Università di Pechino, e Xiaojing Liao, del Georgia Institute of Technology.

Parlando con la redazione di sicurezza di The Register, il team ha menzionato di aver portato questa vulnerabilità all’attenzione di Apple nell’ottobre 2014. Allora, Apple ha detto di comprendere quanto sia seria questa vulnerabilità e ha chiesto al team di dare loro un periodo di sei mesi in cui avrebbero affrontato e fornito una soluzione a questo problema. Apple ha anche detto ai ricercatori di non divulgare questa vulnerabilità pubblicamente fino a quando non avessero risolto il problema.

Nel febbraio 2015, Apple ha richiesto al team di fornire loro una copia anticipata del loro documento di ricerca. Sfortunatamente, il team di ricerca ha confermato che le vulnerabilità sono presenti anche nelle ultime versioni di Mac OS X e iOS e quindi hanno dovuto portare questa vulnerabilità in pubblico.

Xing ha detto: “Abbiamo completamente decifrato il servizio keychain – utilizzato per memorizzare password e altre credenziali per diverse app Apple – e i contenitori sandbox su OS X, e abbiamo anche identificato nuove debolezze nei meccanismi di comunicazione tra app su OS X e iOS che possono essere utilizzati per rubare dati riservati da Evernote, Facebook e altre app di alto profilo.”

Xing ha aggiunto: “Le nostre app malevole sono riuscite a superare il processo di verifica di Apple e sono state pubblicate sull’App Store di Mac e sull’App Store di iOS. Abbiamo completamente decifrato il servizio keychain – utilizzato per memorizzare password e altre credenziali per diverse app Apple – e i contenitori sandbox su OS X, e abbiamo anche identificato nuove debolezze nei meccanismi di comunicazione tra app su OS X e iOS che possono essere utilizzati per rubare dati riservati da Evernote, Facebook e altre app di alto profilo.”

Il team di ricerca ha inoltre menzionato che, nonostante il forte controllo di Apple, sono riusciti a caricare malware che sfruttava le vulnerabilità negli App Store di Mac OS X e iOS. Sembra che queste app vulnerabili all’attacco siano state approvate per entrambi i sistemi operativi.

Il gruppo ha anche testato lo sfruttamento su un’ampia gamma di app Mac e iOS e il risultato è stato terribile poiché ha mostrato che quasi il 90% delle app erano vulnerabili e ha dato accesso completo al malware, non solo rispetto ai dati memorizzati ma anche alle credenziali di accesso.

Lo sviluppatore dell’app 1Password, AgileBits, ha accettato di non essere riuscito a trovare alcun modo per proteggere l’app contro lo sfruttamento. Un recente post sul blog di Jeffrey Goldberg di AgileBits dice: “Né noi né Luyi Xing e il suo team siamo stati in grado di trovare un modo completamente affidabile per risolvere questo problema.”

Secondo il gruppo di ricerca sulla sicurezza, il team di sicurezza di Chromium di Google è stato più reattivo e ha rimosso l’integrazione di Keychain per Chrome. Il team di sicurezza di Google Chrome ha anche confermato che quando l’attacco è a livello di applicazione, sarebbe quasi impossibile proteggere contro lo sfruttamento.

Il gruppo di ricerca sulla sicurezza ha inoltre rilasciato un video che espone la Vulnerabilità di Keychain di Google Chrome su OS X. (guarda il video qui sotto)

In risposta al post di The Register, uno dei commenti su Hacker News suggerisce che, sebbene il malware non possa accedere direttamente alle voci esistenti di Keychain; tuttavia, può costringere gli utenti a effettuare il login manualmente e poi catturare le credenziali sensibili in una nuova voce creata, ottenendo così accesso non autorizzato ai dati sensibili degli utenti.

I ricercatori di sicurezza hanno inoltre affermato: “Gli elementi di Keychain hanno elenchi di controllo degli accessi, dove possono autorizzare le applicazioni, di solito solo se stessi. Se la mia app bancaria crea un elemento di keychain, il malware non avrà accesso. Ma il malware può eliminare e ricreare elementi di keychain e aggiungere sia se stesso che l’app bancaria all’ACL. La prossima volta che l’app bancaria avrà bisogno di credenziali, mi chiederà di reinserirle e poi le memorizzerà nell’elemento di Keychain creato dal malware.”

I ricercatori di sicurezza avvertono tutti gli utenti di Mac OS X e iOS di essere più cauti ogni volta che scaricano app da sviluppatori sconosciuti, sia dall’App Store di iOS che da quello di Mac. Inoltre, nel caso in cui il login debba essere effettuato tramite Keychain e se il sistema chiede ancora agli utenti di effettuare il login manualmente, ciò dovrebbe sollevare un allerta e avvisare gli utenti che c’è qualcosa di sbagliato nel sistema.

All’inizio di questo mese è stata rivelata una vulnerabilità del BIOS/EFI di Mac in cui lo sfruttamento darebbe il controllo permanente di un Mac all’attaccante e una riformattazione dell’unità non aiuterebbe l’utente a fermare l’attaccante dall’accesso e dal controllo del Mac.

Un’altra vulnerabilità rilevata questo mese è stata un bug nell’app Mail di iOS che potrebbe probabilmente essere un attacco di phishing in cui un attaccante eseguirebbe un codice HTML remoto ogni volta che l’utente apre un’email e con quel codice l’attaccante potrebbe imitare un prompt di login di iCloud costringendo così gli utenti a fornire le proprie credenziali Apple ID.

I ricercatori di sicurezza affermano che, come regola generale, è essenziale che gli utenti non consentano mai al proprio browser o a un gestore di password di memorizzare i login sensibili come le credenziali di online banking.

I ricercatori di sicurezza menzionano inoltre: “Le conseguenze di tali attacchi sono devastanti, portando alla completa divulgazione delle informazioni utente più sensibili (ad es., password) a un’app malevola anche quando è sandboxed. Tali scoperte […] sono solo la punta dell’iceberg.”

Nel loro documento, i ricercatori hanno menzionato: “Esaminando la causa principale di queste vulnerabilità di sicurezza, abbiamo scoperto che nella maggior parte dei casi, né il sistema operativo né l’app vulnerabile autenticano correttamente la parte con cui interagiscono. Fondamentalmente, il problema deriva dalla sfida per un’app di autenticare il proprietario di un elemento di Keychain esistente. Apple non offre un modo conveniente per farlo.”