La notizia delle infezioni cinesi ha scoperchiato il proverbiale vaso di Pandora: nelle scorse ore i tecnici di FireEye hanno reso noto di aver individuato un serio vettore d’attacco capace di scavalcare le abituali difese che Apple pone a guardia dell’integrità di iOS strong>, e hanno mostrato in video l’esempio pratico di come partendo da un semplice annuncio giunto via messaggio o via Web su un device della Mela sia possibile installare un’app con malware incorporato saltando il passaggio attraverso App Store, esponendo il possessore dello smartphone o del tablet a rischi notevoli per la sua privacy e la salvaguardia dei suoi dati.
L’attacco, denominato “Masque” da FireEye, è in grado di colpire su dispositivi iOS aggiornati sia alla release 7 che 8 e non fa distinzione tra apparecchi su cui sia stato effettuato il Jailbreak e quelli ancora integri lato software come usciti dalla fabbrica . Cliccando su un link o visitando un sito si riceve la proposta di installare un’app, e attratti dalla prospettiva di un gioco o di una utility celebre si concede ai malintenzionati la chiave per accedere al proprio fortino: nell’esempio mostrato in video dall’azienda che si occupa di sicurezza un’app del tutto identica a Gmail viene sostituita all’originale, ma la versione modificata fornisce a un sever remoto informazioni dettagliate sulla posta in entrata così come sui messaggi scambiati tramite lo smartphone. La vulnerabilità è sfruttabile sia via wireless che attraverso l’USB, pertanto occorre prestare attenzione a dove si collega il proprio apparecchio e quali domande pone il sistema operativo rispetto a installazioni che non seguono canali ortodossi.
Il meccanismo adottato in questo caso è lo stesso impiegato per la distribuzione di app enterprise da grandi organizzazioni direttamente ai terminali che fanno parte della loro rete: un’azienda che realizzi un’app specifica per i propri dipendenti può optare per non passare attraverso l’App Store e installarla direttamente seguendo le linee guida appositamente stilate da Apple. Il problema è che queste app, al contrario di quelle che passano attraverso i controlli dell’App Store, non sono verificate in alcun modo per la loro genuinità e per la assenza di ospiti indesiderati nel codice: in questo modo si possono mettere in piedi sistemi di monitoraggio continuo delle attività eseguite con il dispositivo, che non sono soggette a interruzioni neppure dopo un cosiddetto soft-reset dello stesso, e che in alcuni casi possono persino varcare i confini della sandbox nella quale normalmente le app sono confinate. Inoltre, se nell’esempio FireEye mostra un’app di Gmail, non è scontato che gli attaccanti non possano decidere di imitare un’app di una banca o qualsiasi altro servizio che richiede la fornitura di dati sensibili che possono essere quindi sottratti al legittimo proprietario
I rimedi suggeriti da FireEye sono i più ovvi: non accettate app dagli sconosciuti, installate nuove app solo tramite l’App Store , accertarsi di non avere installati profili enterprise per la fornitura di app non previsti sul proprio smartphone o tablet (quest’ultima operazione è molto semplice in iOS7 mentre è impossibile su iOS8: gli utenti che hanno aggiornato a questa release devono quindi prestare massima attenzione ai primi due punti delle istruzioni). Restando all’interno dei metodi ortodossi di download del software, comunque, gli utenti dovrebbero sentirsi relativamente al sicuro.
FireEye ha comunque voluto precisare di aver informato delle proprie scoperte Apple già lo scorso luglio , e di aver deciso di rendere pubblica la propria scoperta senza addentrarsi nei dettagli solo dopo che la scorsa settimana il caso Wirelurker è divenuto pubblico. Della vulnerabilità si parla da poche settimane in Rete, e il malware cinese è allo stato attuale l’unico esempio di come possa essere sfruttata per attaccare i terminali iOS: trattandosi apparentemente della stessa vulnerabilità, Apple ha già reso noto di essere al corrente del problema e di stare lavorando a una soluzione, anche se secondo i test effettuati da FireEye la release 8.1.1 attualmente distribuita sotto forma di beta agli sviluppatori sarebbe ancora permeabile a questo tipo di attacco .
Luca Annunziata