App iOS popolari infettate da malware per rubare credenziali iCloud trovate nell'app store cinese

App infettate da malware per furto di informazioni trovate nell’App Store cinese di Apple

L’App Store iOS è solitamente una fonte affidabile di software, grazie ai rigorosi controlli di sicurezza di Apple. Tuttavia, recentemente è stato scoperto che un certo numero di app cinesi ospitate nell’App Store ufficiale di Apple erano infettate da un codice sospetto che sottraeva informazioni dai telefoni degli utenti. Sembra che gli hacker abbiano preso di mira alcune versioni del software utilizzato dagli sviluppatori per creare app per iOS e OS X in primo luogo.

Gli sviluppatori cinesi su Weibo sono stati i primi a evidenziare il malware, che è stato poi analizzato dai ricercatori di Alibaba. Inoltre, la società di sicurezza Palo Alto Networks ha verificato i risultati.

Secondo gli esperti di sicurezza, anche app popolari come WeChat, un’app di messaggistica e social networking estremamente popolare, e Didi Kuaidi, il principale rivale di Uber in Cina, portavano la minaccia.

L’hack dipende interamente da Xcode, uno strumento utilizzato per creare app iOS e OS X. In generale, Xcode può essere scaricato direttamente da Apple gratuitamente. Tuttavia, è possibile ottenere Xcode anche da altre fonti, come forum per sviluppatori. Il problema è iniziato quando gli sviluppatori hanno scaricato versioni alterate di Xcode (chiamate “XcodeGhost” dai ricercatori di Alibaba) da siti di terze parti.

Molti sviluppatori hanno scelto di scaricare Xcode dal servizio di condivisione file Baidu cloud piuttosto che direttamente da Apple. Ma in qualche modo quei download erano stati modificati per aggiungere malware alle app costruite con l’Xcode alterato, in modo da raccogliere dati apparentemente innocui dagli iPhone, come il nome del dispositivo e le informazioni di rete di base.

Tuttavia, il malware non è così delicato. Claud Xiao, ricercatore senior di malware di Palo Alto Networks, ha detto a Forbes: “può essere controllato a distanza dall’attaccante per phishing o sfruttare vulnerabilità locali del sistema o dell’app”. Ciò rende XcodeGhost potenzialmente più pericoloso e sembra essere un punto di ingresso sugli iPhone per ulteriori sfruttamenti.

Ryan Olson, direttore dell’intelligence dell’unità di ricerca Unit 42 di Palo Alto Networks, ha spiegato ulteriormente: “Dopo aver contattato il server di comando e controllo per caricare informazioni sul dispositivo infetto, il malware recupera una risposta crittografata dal server. Questa risposta contiene più comandi possibili. Uno di essi specifica un messaggio da inviare all’utente sotto forma di avviso.”

“Abbiamo prove che questo è stato utilizzato per ‘phishing’ delle credenziali iCloud dagli utenti delle app infette. La risposta può anche contenere un URL che l’app aprirà. Non sappiamo come venga utilizzato, ma potrebbe essere usato per inviare altre app sul telefono a risorse potenzialmente dannose.”

Una volta che l’app è stata scaricata, le app sviluppate con il codice XcodeGhost raccoglieranno una serie di dettagli sul dispositivo di un cliente. I dati estratti includono il nome del dispositivo, UUID, lingua, tipo di rete del paese e l’ora corrente — nessuno di questi è qualcosa che un hacker potrebbe realmente usare contro di te. Non è una grande violazione, ma nessuno vuole essere tracciato da fonti sconosciute.

Qualsiasi sviluppatore che ha ottenuto la propria copia di Xcode da una fonte non ufficiale potrebbe essere colpito. Secondo Palo Alto Networks, con sede negli Stati Uniti, sembrava che le infezioni fossero inizialmente contenute ad app cinesi e colpissero principalmente utenti cinesi. Tuttavia, è ora diventato ovvio che un numero molto più ampio di app è stato infettato, colpendo centinaia di milioni di utenti in tutto il mondo. L’azienda ha notato che CamCard, il lettore e scanner di biglietti da visita più popolare negli Stati Uniti e in molti altri paesi, conteneva XcodeGhost.

Gli sviluppatori che creano app aziendali potrebbero anche essere colpiti da XcodeGhost. Queste sono app create da aziende specificamente per i dispositivi dei propri dipendenti, quindi non devono passare attraverso alcun tipo di controllo di sicurezza di Apple. Tuttavia, “è un attacco piuttosto oscuro,” ha detto Charlie Miller, un ricercatore di sicurezza di Uber che ha inserito il proprio software dannoso nell’App Store nel 2011, a Wired.

Sebbene il malware nell’App Store stesso non sia una preoccupazione, la domanda più grande qui è come sia riuscito a superare i rigorosi controlli di sicurezza di Apple.

“Potresti fidarti completamente dello sviluppatore dell’app, e quel sviluppatore potrebbe essere completamente affidabile, ma questo è un caso in cui l’app non lo era,” ha detto Miller. Il fatto è come il software realizzato da una versione manomessa di Xcode sia riuscito a trovare la sua strada nell’App Store.

Apple non ha risposto alle richieste di commento su XcodeGhost e le app infette.

I consumatori e le persone che hanno scaricato le app dannose dovrebbero preoccuparsi? Forse solo leggermente. “Non mi preoccuperei troppo,” dice Miller. Le app che sono riuscite a passare non sembravano fare nulla di sgradevole. “Se l’avessi resa davvero, ovviamente, cattiva, probabilmente [Apple] l’avrebbe catturata,” dice Miller.

La morale della storia è che se hai scaricato una di queste app inaffidabili, eliminala e segnalane altre che sono riuscite a passare. Inoltre, gli sviluppatori non dovrebbero scaricare i propri strumenti da siti di terze parti casuali.