Magazine Tecnologia

Masque Attack: FireEye Scopre Un’Altra Falla iOS

Creato il 11 novembre 2014 da Beiphone

FireEye, nota azienda dedicata alla sicurezza sul Web, pubblica un articolo relativo a uno studio volto a migliorare la sicurezza Mobile. E i risultati sono tanto impressionanti quanto spaventosi.

Untitled1

Sembra che il Sistema Operativo Apple abbia una vulnerabilità ben più grande di quanto potessimo immaginare, e tale falla iOS potrebbe dare un potere devastante a tutti coloro che sapessero come usarla. Nel Luglio 2014, il team di ricercatori sulla sicurezza Mobile di FireEye aveva scoperto che un’App iOS installata utilizzando determinate manovre ad-hoc era in grado di rimpiazzare un’altra App genuina installata attraverso l’AppStore, fintanto che, almeno, entrambe le App utilizzassero lo stesso Bundle ID, cioè la stessa stringa di codice (unica per ogni applicazione) che permette ad iOS di identificare l’App stessa come parte del sistema.
Quest’App amatoriale potrebbe mostrare un titolo arbitrario, totalmente a scelta del creatore (come “New Flappy Bird”) per indurre l’utente a installarla, ma la nuova App si ritroverebbe a rimpiazzare l’App genuina dopo l’installazione. Tutte le App possono essere rimpiazzate, ad eccezione delle App di Sistema iOS, come Mobile Safari. Tale vulnerabilità, tuttavia, esiste perché iOS non rinforza il controllo dei certificati per le App con lo stesso Bundle ID, rendendo il sistema particolarmente debole e vulnerabile ad attacchi degli sviluppatori “giusti”, che sanno precisamente dove mettere le mani.
La vulnerabilità è stata trovata su iOS 7.1.1, 7.1.2, 8.0, 8.1 e persino la Beta di 8.1.1, sia per dispositivi Jailbroken che non. Un attacker potrebbe sfruttare questa vulnerabilità sia tramite USB sia tramite Wireless, rendendo la falla ancora più pericolosa di quella sfruttata da WireLurker.
FireEye ha chiamato questo tipo di attacco “Masque Attack”, e ha prodotto un video dimostrativo per mostrare le modalità di aggressione di un malware che sfrutti la falla dei Bundle ID.

Apple è stata notificata della vulnerabilità il 26 Luglio, ma non è stato ancora preso alcun provvedimento. Claud Xiao ha, inoltre, scoperto recentemente WireLurker (di cui abbiamo già ampiamente parlato su questo sito), un Malware che sfruttava le porte USB per attaccare i dispositivi iOS utilizzando sostanzialmente una forma ridotta del Masque Attack. Il Masque Attack, però, può essere una minaccia ben più grande di WireLurker: un Masque Attack può rimpiazzare App autentiche, come App finanziarie (PayPal) o App di gestione delle eMail (Gmail) e utilizzare il Malware del creatore attraverso l’intera rete Internet. Ciò vuol dire che il creatore di una tale App maligna potrebbe accedere ai dati dell’utente semplicemente con un Malware che abbia un’Interfaccia Utente identica, ma non solo: FireEye ha scoperto che il Malware avrebbe liberamente accesso ai dati locali dell’App, che non verrebbero cancellati con la sostituzione dell’App stessa, e che potrebbero contenere eMail in cache o persino Login automatici che il Malware potrebbe utilizzare per entrare direttamente nell’account dell’utente.
Sfortunatamente, una procedura di attacchi simile ha già iniziato a circolare. In una situazione simile, è ruolo di FireEye così come di BeiPhone avvertire il pubblico, poiché non tutti gli attacchi potrebbero essere coperti dai sistemi di sicurezza di iOS.

Impatti Sulla Sicurezza

Utilizzando un Masque Attack, un creatore potrebbe invogliare una vittima a installare un’App con un nome fuorviante (come, appunto, “New Angry Birds”), e il sistema iOS utilizzerà tale App per rimpiazzare un’App legittima con lo stesso Bundle ID. I Masque Attack non possono rimpiazzare le App proprie di Apple come Safari, ma possono rimpiazzare le App installate dall’AppStore, con gravissime conseguenze sulla sicurezza:

  1. I creatori potrebbero mimare e riprodurre l’interfaccia di login originale dell’App per rubare le credenziali di login dell’utente. Ciò è stato confermato attraverso diverse App di eMail e di sistemi finanziari, con le quali il Malware utilizza un’Interfaccia Utente identica a quella dell’App originale per ingannare l’utente e fargli effettuare un login reale, caricando poi i dati sensibili su un server remoto.
  2. Come già detto, i file in locale restano alla sostituzione dell’App, non vengono cancellati; ciò consente al Malware di aver accesso a dati sensibili depositati nelle cache locali. Tale procedura è stata confermata con l’utilizzo di App per le eMail.
  3. L’Interfaccia MDM che si occupa della sicurezza delle App su iOS non può distinguere il Malware dall’App originale, perché utilizzano lo stesso Bundle ID. Il sistema, infatti, non è ancora in grado di verificare i certificati per tutte le App, ed è difficile per l’MDM rilevare tali attacchi.
  4. Come già accennato nel Virus Bulletin 2014 da FireEye stessa, le App distribuite tramite determinati processi di installazione di terze parti non sono soggette ai controlli di Apple. Per questo motivo, un creatore potrebbe sfruttare le procedure di installazione private di iOS per attacchi potentissimi come il monitoraggio in Background e la riproduzione dell’interfaccia di iCloud per rubare l’Apple ID e la password dell’utente.
  5. Il creatore può anche utilizzare i Masque Attack per bypassare il normale recinto delle App e ottenere privilegi speciali attaccando le stesse vulnerabilità di iOS già note, come quelle utilizzate dal Pangu Team.
IMG_0001

Quando iOS vi dice di non fidarsi di uno sviluppatore, probabilmente è una buona idea seguire il suo consiglio.

E Le Soluzioni?

Fortunatamente, le soluzioni per proteggersi dai Masque Attack esistono, e sono anche piuttosto efficaci. Tutti gli utenti non devono far altro che seguire tre semplici passi:

  1. Non installare App da servizi e fonti di terze parti a parte l’AppStore ufficiale o fonti di cui si fida personalmente l’utente.
  2. Non toccare il tasto “Installa” quando appare un Pop-Up da una pagina web di terze parti, a prescindere da ciò che il Pop-Up possa dire sull’App stessa. Ricordiamo che il Pop-Up potrebbe mostrare un titolo particolarmente attraente per attirare la vittima in trappola.
  3. Quando aprite un’App per la prima volta, se iOS mostra “Untrusted App Developer” (o qualunque sia la traduzione Italiana corrispondente), toccate immediatamente “Don’t Trust” per NON dare la vostra fiducia allo sviluppatore e correte a disinstallare l’App in questione.

Se avete dubbi sulla sicurezza del vostro Sistema, iOS 7 permette di visualizzare i permessi e i profili delle App direttamente dal menù delle impostazioni. iOS 8, tuttavia, non consente una cosa simile, e per questo motivo raccomandiamo una maggiore cautela quando si installano delle App.


FireEye ha esposto questa vulnerabilità a Luglio, ma a causa di tutti gli standard di protezione già esistenti Apple non può far nulla per prevenire tali attacchi, se non fornire interfacce più potenti e sicure ai professionisti della sicurezza per proteggere gli utenti (soprattutto delle imprese) da questi e altri attacchi ancora più avanzati.

Di seguito trovate il link all’articolo completo di FireEye, che presenta anche un esempio del funzionamento del Masque Attack (in Inglese):

– Masque Attack: All Your iOS Apps Belong to Us


Potete seguirci tramite Twitter, Facebook, Google Plus oppure tramite Feed e potete scaricare la nostra App BeMobile per essere sempre aggiornati sulle ultime news che riguardano l’iPhone, iPad, Mac, Cydia e Jailbreak. Per Supporto o Assistenza, visitate il nostro Forum.


L'articolo Masque Attack: FireEye Scopre Un’Altra Falla iOS può essere letto su Beiphone.


Potrebbero interessarti anche :

Ritornare alla prima pagina di Logo Paperblog

Possono interessarti anche questi articoli :