Masque Attack: La tua app iPhone potrebbe essere un'app clonata che nasconde malware

Table Of Contents

• Masque Attack: Le tue app iPhone potrebbero essere malware
• Come funziona Masque?
• Tutti i dispositivi Apple iOS colpiti
• Precauzioni contro l’attacco Masque

Masque Attack: Le tue app iPhone potrebbero essere malware

I ricercatori di FireEye hanno identificato un nuovo attacco che può essere utilizzato dagli aggressori per sostituire un’app genuina con un’altra carica di malware. I ricercatori di FireEye hanno chiamato questo nuovo attacco ‘Masque Attack’.

A luglio, il team di sicurezza mobile di FireEye ha scoperto che un’app iOS installata utilizzando provisioning aziendale o ad-hoc potrebbe sostituire un’altra app genuina installata tramite l’App Store se entrambe le applicazioni utilizzano lo stesso identificatore di bundle. La vulnerabilità esiste perché iOS non applica certificati corrispondenti per le app con lo stesso identificatore di bundle, secondo l’azienda.

In un esempio di come funzionerebbe un attacco, FireEye ha inviato un link a un utente di prova invitandolo a scaricare un nuovo aggiornamento di Flappy Bird. Quando la persona ha cliccato sul link, ha scaricato inconsapevolmente un aggiornamento hackerato per l’app Gmail legittima.
L’app Gmail hackerata potrebbe apparire identica a quella reale ma può inviare una copia delle email riservate degli utenti a una terza parte senza la conoscenza degli utenti.

FireEye afferma che la stessa tecnica potrebbe essere utilizzata per ingannare le persone a caricare versioni dannose delle app bancarie, che inoltrano dettagli finanziari, inclusi le password, all’hacker.

Come funziona Masque?

Una volta che la vittima è indotta a installare l’app dannosa, i ricercatori di FireEye hanno spiegato, l’applicazione illegittima sostituirà quella genuina. FireEye afferma che solo le app pre-installate come Mobile Safari non sono influenzate da questo problema. Secondo FireEye, l’aggressore può sfruttare questo problema sia in modalità wireless che tramite USB.

“Dopo aver esaminato WireLurker, abbiamo scoperto che ha iniziato a utilizzare una forma limitata di attacchi Masque per attaccare i dispositivi iOS tramite USB,” hanno scritto i ricercatori di FireEye nel loro blog. “Gli attacchi Masque possono rappresentare minacce molto più grandi rispetto a WireLurker. Gli attacchi Masque possono sostituire app autentiche, come app bancarie e di posta elettronica, utilizzando il malware dell’aggressore tramite Internet. Ciò significa che l’aggressore può rubare le credenziali bancarie dell’utente sostituendo un’app bancaria autentica con un malware che ha un’interfaccia utente identica. Sorprendentemente, il malware può persino accedere ai dati locali dell’app originale, che non sono stati rimossi quando l’app originale è stata sostituita. Questi dati possono contenere email memorizzate nella cache o persino token di accesso che il malware può utilizzare per accedere direttamente all’account dell’utente.”

Tutti i dispositivi Apple iOS colpiti

La vulnerabilità è stata verificata da FireEye su iOS 7.1.1, 7.1.2, 8.0, 8.1 e 8.1.1 beta su dispositivi sia jailbroken che non jailbroken. FireEye ha dichiarato di aver notificato Apple il 26 luglio 2014, ma Apple non ha risposto immediatamente. FireEye ha affermato di aver visto il Masque essere sfruttato in natura.

“Poiché tutte le protezioni o interfacce standard esistenti di Apple non possono prevenire un tale attacco, chiediamo ad Apple di fornire interfacce più potenti ai fornitori di sicurezza professionale per proteggere gli utenti aziendali da questi e altri attacchi avanzati.”

Precauzioni contro l’attacco Masque

Per evitare la minaccia, FireEye afferma che ci sono tre regole che ogni utente di iPhone e iPad dovrebbe seguire:

2. Non installare app da fonti di terze parti diverse dall’App Store ufficiale di Apple o dall’organizzazione dell’utente.

3. Non cliccare su “Installa” su un pop-up proveniente da una pagina web di terze parti.

4. Quando si apre un’app, se iOS mostra un avviso con “Sviluppatore dell’app non attendibile”, cliccare su “Non fidarti” e disinstallare immediatamente l’app.

Mentre tutto internet è in fermento per l’attacco Masque, Apple finora non ha né accettato né negato la vulnerabilità.