Qualche giorno fa vi abbiamo segnalato WireLurker, un malware che infettava il Mac per poi passare agli iDevice connessi anche senza Jailbreak. Ne parlo al passato perché Apple ha riconosciuto il problema ed aggiornato immediatamente l’anti-malware incluso in OS X, per cui oggi è impossibile installare un’app che contenga il virus. Tuttavia 9to5mac ne ha segnalato un secondo che è potenzialmente molto più pericoloso. Lo ha scoperto FireEye che lo ha chiamato Masque Attack.
In sostanza grazie ad un bug di iOS che non verifica le firme per le app con lo stesso identificatore, un malintenzionato può riuscire a sostituire le app nel nostro telefono con altre esteticamente identiche ma contenenti una backdoor. L’azienda che lo ha scoperto si occupa di sicurezza ed ha pubblicato un filmato che spiega nel dettaglio come questo bug possa essere sfruttato (lo trovate a fondo pagina). Nell’esempio si riceve un SMS che suggerisce l’installazione di Flappy Bird, app potenzialmente ricercata dal momento che è stata rimossa dall’App Store. Se l’utente clicca sul link arriva su una pagina che è in grado di aggiornare ad esempio l’app Gmail con una apparentemente identica. Rimangono invariate sia l’icona che il badge con le notifiche, per cui è davvero difficile capire cosa sia accaduto. Il fatto è che da quel momento tutto il database con le email può essere inviato ad un server remoto e la stessa cosa vale per i messaggi.
FireEye ha verificato che la vulnerabilità è presente sia su iOS 7.1.1 che 8.1.1 ed ha avvertito Apple il 26 luglio. Usando Mask Attack si possono colpire anche i device senza jailbreak e simulare qualsiasi app. Potenzialmente si può sostituire l’app per l’accesso alla banca e prendere possesso della nostra login. Inoltre si può riuscire a superare la sandbox ed acquisire privilegi root sul dispositivo. In realtà per scongiurare possibili rischi basta installare app solo tramite lo store ufficiale Apple, ma ci auguriamo che questa vulnerabilità venga risolta nel minor tempo possibile. Per il momento da Cupertino non è arrivata nessuna dichiarazione, ma sembra strano che dal 26 luglio non abbiano provveduto a risolvere questo problema. Di seguito il video che mostra Mask Attack all’opera.