Ebbene sì, presto o tardi doveva succedere. O meglio, non è la prima volta in senso assoluto che accade, di ritrovarsi malware su iOS; la maggior parte delle volte ha però coinvolto dispositivi sottoposti a jailbreak, procedura mai supportata e strenuamente combattuta da Apple. Poco meno di un anno fa sono occorsi alcuni attacchi al sistema senza modifiche, usando il Mac come vettore nel caso di WireLurker oppure sfruttando vulnerabilità di iOS come faceva Masque Attack. Si trattava di minacce abbastanza pericolose, specialmente la seconda, ma non di facile né rapida attuazione, in sostanza i guai bisognava andarseli proprio a cercare. Il caso di questi giorni è però di tutt’altra natura. XcodeGhost ha colpito al cuore la piattaforma mobile di Cupertino, il posto dove meno ci si aspettava accadesse, tanto nei pensieri dell’azienda quanto in quelli dell’utenza: l’App Store.

L’infezione è avvenuta in Cina, dove per fortuna è anche rimasta abbastanza circoscritta. A farne scoperta è stata l’azienda di sicurezza americana Palo Alto Networks. All’origine di tutto un grave errore degli sviluppatori locali, che hanno scaricato XCode per vie traverse da server cinesi, al fine di non passare da quelli ufficiali statunitensi per loro più lenti. Purtroppo come spesso accade in queste situazioni, che di norma coinvolgono app a pagamento piratate e non gratuite come XCode (liberamente scaricabile dal Mac App Store), il pacchetto dell’app è stato manomesso al fine di includere malware. Da qui in poi lo svolgimento è piuttosto semplice: i prodotti vengono sviluppati, compilati con l’aggiunta automatica del codice infetto e caricati sullo Store per l’approvazione. Una volta ottenuto il via libera e pubblicate, l’ignaro utente che le scarica diventa una preziosa miniera di informazioni per i malintenzionati. L’invio iniziale comprende dati come data e ora, paese di residenza, lingua, rete a cui si è connessi, tipologia di iDevice e codice univoco UUID che associa utente e terminale all’app installata; è proprio questo comportamento apparentemente non troppo aggressivo ad aver permesso in vari casi di superare indenni le verifiche effettuate dal team dell’App Store. Il peggio arriva dopo, con finti pop-up che richiedono credenziali (qui si dice che in realtà non può aprire popop), accesso con permessi di lettura e modifica agli appunti copia/incollati (che permette nel caso di ottenere ulteriori dati personali), dirottamento di URL per sfruttare altre eventuali falle di iOS o di app pulite per aumentare i potenziali danni. Quando l’utente si accorge della situazione ormai per XcodeGhost il più è stato fatto.

Ben 39 applicazioni sono state coinvolte nel problema, quasi tutte rivolte al solo mercato cinese. Nella lista figurano però anche importanti vittime, come la variante locale di Angry Birds 2 (Rovio ha già precisato che quella occidentale è sicura) e soprattutto il client di messaggistica WeChat, noto pure qui in Italia. Quest’ultima in particolare ha permesso al malware di allargare le sue radici a vaste zone del pianeta. La buona notizia è che i provvedimenti sono stati presi, tanto da Apple che ha rimosso per precauzione i software infetti dallo Store quanto dagli sviluppatori stessi come appunto quelli di WeChat, che hanno provveduto a pubblicare un aggiornamento “pulito”. Emergenza rientrata, dunque. Almeno per stavolta. Rimane il campanello di allarme che l’azienda guidata da Tim Cook non deve sottovalutare, proveniente proprio da quel «giardino recintato» fonte di aspri contrasti tra i sostenitori di iOS, che elogiano la miglior qualità delle app e la protezione offerta, e quelli di Android, che non vogliono saperne di approcci chiusi desiderando la maggior libertà d’azione possibile sul proprio dispositivo. Le leggerezze esterne compiute dai programmatori cinesi, che si auspica abbiano imparato la lezione, sono state contraccambiate da altre interne che hanno permesso alla situazione di degenerare, seppur per un periodo breve. Con la sicurezza non si scherza, non essendoci al mondo un prodotto informatico davvero impenetrabile, e siamo certi che da oggi in poi la vigilanza sull’App Store sarà molto più alta di quella cui eravamo già abituati.

[AGGIORNAMENTO 23 settembre 2015] Apple ha reso disponibile il download di Xcode anche su server cinesi, in modo tale da risolvere la lentezza di scaricamento che li aveva indotti a cercare il software su fonti esterne, prestando così il fianco a XcodeGhost. Si chiude così definitivamente questo capitolo.