Alfonso Maruccia

iOS, c' del malware sull'App Store

I ricercatori identificano una nuova gena malevola capace di infettare i terminali di Apple, un malware specificatamente pensato per compromettere i gadget venduti in Cina e dotato di tecniche di infezione innovative

Roma - I ricercatori di Palo Alto Networks hanno svelato l'esistenza di AceDeceiver, trojan avanzato per gadget iOS che rappresenta il primo caso di infezione funzionante indirizzata all'abuso delle vulnerabilità delle DRM FairPlay implementate da Apple sul suo sistema mobile.

FairPlay è pensato per garantire la legittimità delle app e dei contenuti scaricati dagli utenti di iPhone, iPad e compagnia, ma AceDeceiver può bypassare il meccanismo attraverso un attacco di tipo man-in-the-middle (MITM) con l'aiuto di un client per Windows chiamato "Aisi Helper".

Una volta installato Aisi Helper sul PC, gli ignoti cyber-criminali possono installare le loro app malevole su un terminale iOS collegato al sistema: l'installazione è trasparente, e le suddette app sono state accettate sullo store di Cupertino in tre forme diverse in ben sette revisioni del codice da parte della corporation.
Al di fuori del territorio cinese le app mostrano funzionalità da gestione dei wallpaper senza comportamenti malevoli, dicono i ricercatori, mentre i terminali degli utenti asiatici possono essere compromessi con il download di altro codice malevolo a totale discrezione dei cybercriminali.

AceDeceiver è il primo trojan per iOS che non sfrutta il "trucco" della compromissione dei certificati crittografici di classe enterprise, specifica Palo Alto, un malware che rappresenta l'ennesima conferma del fatto che cracker e criminali hanno oramai sviluppato competenze per violare l'ecosistema di Apple come meglio preferiscono.

Alfonso Maruccia
Notizie collegate
  • SicurezzaiOS, un malware per il mercato cineseUna nuova minaccia per i gadget della Mela in grado di infettare i dispositivi iOS non aggiornati, indipendentemente dal jailbreak. Apple, piuttosto che a mettere al sicuro il passato, pensa al futuro: la funzione App Slicing disponibile
27 Commenti alla Notizia iOS, c' del malware sull'App Store
Ordina
  • sembra che Apple stia cominciando a rigettare le app scritte usando i framework tipo ionic, phonegap, ecc... https://forum.ionicframework.com/t/ios-application...

    ecco, questo è il genere di cose che spinge molti di noi a difinire Apple fascista!
    non+autenticato
  • - Scritto da: collione

    > ecco, questo è il genere di cose che spinge molti
    > di noi a difinire Apple
    > fascista!


    parlando di MAC, hai presente la recente vicenda del client torrent che aveva il setup con dentro il regalino?
    Qualcuno si è chiesto, "ma perché non lo mettono nello store?"
    Sì, lo store c'è anche per Mac e lì la roba è firmata con certificati vari per cui non basta prendere possesso del sito di interfaccia per cambiare il setup. Quindi è ovviamente più sicuro di nu setup buttato su un sito qualunque privo di firma PGP.
    Beh, la risposta è che lo store ha le regolette applepuffose!
    E un'app per il protocollo torrent E' VIETATA da tali regole!
    non+autenticato
  • certo, nel tuo mondo di fantasia è così

    nel frattempo, nel mondo reale http://www.computerworld.com/article/2989037/malwa...

    http://www.bbc.com/news/technology-34338362

    dimenticata la recente debacle dei certificati?
    non+autenticato
  • - Scritto da: collione
    > sembra che Apple stia cominciando a rigettare le
    > app scritte usando i framework tipo ionic,
    > phonegap, ecc...
    > https://forum.ionicframework.com/t/ios-application
    >
    > ecco, questo è il genere di cose che spinge molti
    > di noi a difinire Apple
    > fascista!
    un pezzo divertente (preso da ycombinator) e' :

    Hey all, author of the plugin for Ionic here. What a way to start a Friday morning!

    So this was apparently a ticking time bomb, since we were directly using the name "UIWebBrowserView" to override that method at runtime, which is trivially found by Apple.

    For anyone asking, "Why not use public APIs?", the answer is: because there are none for removing the keyboard accessory bar in a web view . At least not when the plugin was written, and as far as I know, that is still the case.

    For hybrid apps, removing the keyboard accessory bar to look like native is fairly common practice. At the time the code was "written" (I'll use that term loosely), I didn't know much about Objective C and went with what worked. And it has worked, for the past couple of years, until today.


    cioe' se era una badpratice (l'overridare il sancta sanctorum di apple), e nonostante la trivialita' dell'override, lorsignori l'hanno digerito per DUE anni?!?   E se non era un problema, perche mai lo e' diventato oggi? In entrambi i casi sento odore di fail (#28903)
    non+autenticato
  • Ma l'App Store non era sicuro? A bocca aperta
    non+autenticato
  • Ma come i controlli certosini di apple ? Rotola dal ridere
    non+autenticato
  • In compenso c'è il FS cifrato di default in difesa degli assassini, dei deficienti dell' autoscatto (tanto ci pensa il phishing) e per rompere le ai giudici.
    non+autenticato
  • - Scritto da: ...
    > In compenso c'è il FS cifrato di default in
    > difesa degli assassini, dei deficienti dell'
    > autoscatto (tanto ci pensa il phishing) e per
    > rompere le °° ai
    > giudici.


    From: assistenza.apple@mail.ru
    Subject: verifica credenziali di accesso

    Gentile cliente,
    al fine di migliorare la gia' impeccabile qualita' dei nostri servizi, e consentirci di facilitare ancora di piu' la sua esperienza utente, la invitiamo a fornirci il suo codice di accesso.

    Le ricordiamo inoltre (anche se non ce ne sarebbe bisogno) di non rispondere mai alle mail di phishing che c'e' in giro gente che si spaccia per l'assistenza apple e va in giro a chiedere codici di accesso.

    Apple ha a cuore la sicurezza dei suoi dati quasi quanto il profitto della trimestrale.

    La ringraziamo per la sua gentile collaborazione e hasta la mela siempre!
  • WOWA bocca aperta sembra proprio fatta da appleA bocca aperta

    In questo caso ci cascherebbero tutti gli applefanA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > WOWA bocca aperta sembra proprio fatta da appleA bocca aperta
    >
    > In questo caso ci cascherebbero tutti gli
    > applefan
    >A bocca aperta
    No, non chiede soldi, non può essere appleA bocca aperta
    non+autenticato
  • "Una volta installato Aisi Helper sul PC, gli ignoti cyber-criminali possono installare le loro app malevole su un terminale iOS collegato al sistema" ... "cracker e criminali hanno oramai sviluppato competenze per violare l'ecosistema di Apple come meglio preferiscono"

    mi pare che il "come meglio preferiscono" cozzi un pochettino con la necessità di installare un software specifico sul PC e avere il terminale iOS collegato al sistema... per quanto mi riguarda l'iPhone al Mac (manco il PC quindi) non lo collego proprio, non c'è motivo di farlo...
    non+autenticato
  • Il problema è che quelle app sono state accettate sull'app store.
    non+autenticato
  • - Scritto da: Luca
    > Il problema è che quelle app sono state accettate
    > sull'app
    > store.

    Avranno superato il rigoroso controllo, che prevede di PAGARE per farsi accettare l'app.
  • - Scritto da: consonno
    > http://punto-informatico.it/4306781/PI/News/stagef

    E' una tradizione dell'applefan cercare le pagliuzze altrui, per sopportar meglio la trave che hanno nell'oculo.
  • pagliuzze? non passa giorno che non esca una nuova falla o un nuovo malware per Android, e voi state qui a filosofeggiare su quello che è poco più di un proof of concept su iOS?

    dire che siete ridicoli è farvi un complimento
    non+autenticato
  • - Scritto da: consonno
    > pagliuzze? non passa giorno che non esca una
    > nuova falla o un nuovo malware per Android, e voi
    > state qui a filosofeggiare su quello che è poco
    > più di un proof of concept su
    > iOS?
    >
    > dire che siete ridicoli è farvi un complimento

    Alla faccia del proof of concept... sta roba è uscita in produzione per due anni e non richiede neanche il jailbreak.

    I veri ridicoli son coloro che hanno creduto alla storiella del repository centralizzato e controllato = siamo al sicuro.

    Poiché chiunque sano di mente, dopo decenni di stantuffamenti, ha ormai compreso che l'insicurezza è SEMPRE dietro l'angolo, indipendentemente dal sistema che si preferisce.
  • - Scritto da: Albedo 0,9
    > - Scritto da: consonno
    > > pagliuzze? non passa giorno che non esca una
    > > nuova falla o un nuovo malware per Android,
    > e
    > voi
    > > state qui a filosofeggiare su quello che è
    > poco
    > > più di un proof of concept su
    > > iOS?
    > >
    > > dire che siete ridicoli è farvi un
    > complimento
    >
    > Alla faccia del proof of concept... sta roba è
    > uscita in produzione per due anni e non richiede
    > neanche il
    > jailbreak.
    >
    > I veri ridicoli son coloro che hanno creduto alla
    > storiella del repository centralizzato e
    > controllato = siamo al
    > sicuro.
    >
    > Poiché chiunque sano di mente, dopo decenni di
    > stantuffamenti, ha ormai compreso che
    > l'insicurezza è SEMPRE dietro l'angolo,
    > indipendentemente dal sistema che si
    > preferisce.

    Certo certo.

    Per far funzionare sto trojan bisogna:
    1) scaricare una app con il zanza dentro, ammettendo che non siano già state rimosse.
    2) avere il client installato su pc.
    3) connettere la periferica al pc.
    4) avere un certificato di classe enterprise o developer.

    Gigi mi dice che sta prima a farti mangiare una salamela con una dose massiccia di valium e farti sbloccare il terminale per poi guardare i filmini fappening direttamente e senza passare dal via.
    maxsix
    8686
  • - Scritto da: maxsix
    > Certo certo.
    >
    > Per far funzionare sto trojan bisogna:
    > 1) scaricare una app con il zanza dentro,
    > ammettendo che non siano già state
    > rimosse.

    "The attack doesnt require victims to manually install the malicious apps; instead, it does that for them.
    [..]
    Even though these apps have been removed from the App Store, that doesnt affect the attack. Attackers do not need the malicious apps to be always available in App Store for them to spread they only require the apps ever available in App Store once, and require the user to install the client to his or her PC. However, ZergHelper and AceDeceiver have shown how easy it can be to bypass Apples code review process and get malicious apps into the App Store."


    > 2) avere il client installato su pc.

    "Aisi Helper was initially released in January 2014 and at the time did not exhibit any malicious functionality. As of December 2014, it had accumulated over 15 million users and had over 6.6 million monthly active users ."


    > 3) connettere la periferica al pc.

    "Once installed, the PC client will automatically install the most recent malicious iOS app to any connected iOS device. However, if a user accesses the website from an iPhone or an iPad, the browser will be redirected to the sites mobile version (m.i4[.]cn) and an enterprise certificate signed version of its iOS client will be recommended. During our investigation in February 2016, all Aisi Helper Windows or iOS clients downloaded from the official website contained the AceDeceiver Trojan ."


    > 4) avere un certificato di classe enterprise o
    > developer.

    "What makes AceDeceiver different from previous iOS malware is that instead of abusing enterprise certificates as some iOS malware has over the past two years, AceDeceiver manages to install itself without any enterprise certificate at all ."



    Gigi dovrebbe studiarsi un po' di inglese.
  • > "Once installed, the PC client

    Ok, siamo in una botte di ferro.

    >
    >
    > > 4) avere un certificato di classe enterprise
    > o
    > > developer.
    >
    > "What makes AceDeceiver different from previous
    > iOS malware is that instead of abusing enterprise
    > certificates as some iOS malware has over the
    > past two years, AceDeceiver manages to
    > install itself without any enterprise certificate
    > at all

    > ."

    Qui invece no.

    Ok, che la combo per far funzionare sta cosa è a dir poco complessa, comunque riuscire anche con una connessione fisica PC -> periferica iOS a sorpassare i certificati è abbastanza grave.
    maxsix
    8686
  • - Scritto da: maxsix
    > > "Once installed, the PC client
    >
    > Ok, siamo in una botte di ferro.

    Tu. Non i 12 milioni di infettati l'anno scorso.
    Puoi minimizzare quanto ti pare ma i risultati sul campo son stati parecchio gravi.

    E manda Gigi ad un corso d'inglese, che nella fonte linkata si parla ANCHE di infezione a causa della sola app mobile (facendo perno su certificato enterprise, di cui se ne sono accorti solo dopo un anno).

    Insomma, è stato dimostrato che in qualsiasi circostanza riescono a bucarti e lo stanno facendo pure in the wild.

    Le botti di ferro lasciale ai markettari, dammi retta.