iOS, la sicurezza è a rischio?

Nei giorni scorsi sono comparse in rete alcune informazioni riguardanti un malware destinato ad infettare i dispositivi iOS, la storia di questo malware è davvero particolare e così abbiamo deciso di parlarne in un post dedicato in modo da fare chiarezza.

XCodeGhost1

Nel corso degli anni Apple si è sempre distinta per la sicurezza dei suoi sistemi (soprattutto iOS) che sono stati quasi sempre immuni a malware e virus di vario genere.
Ora però le cose sembrano essere cambiate a causa di un malware chiamato XcodeGhost che è stato scovato in numerose applicazioni presenti in App Store.
I numeri riguardanti questo malware non sono al momento chiari, c’è chi parla di 4000 applicazioni infette presenti in App Store, chi di 500 e poi c’è Apple che in un post dedicato ne ha elencate solamente 25.

Questo malware è finito in circa 500 milioni di dispositivi partendo da molto lontano, chi lo ha sviluppato ha infatti sfruttato la bassa velocità dei server Apple presenti in Cina andando a caricare su siti alternativi delle versioni di Xcode (versioni tra la 6.1 e la 6.4) opportunamente modificate in grado di produrre app infette.
I soggetti che sono stati infettati dal malware sono stati in prima persona gli stessi sviluppatori che hanno preferito scaricare Xcode da siti esterni piuttosto che utilizzare l’App Store e poi ovviamente tutti gli utenti, sia quelli cinesi (soprattutto) sia quelli degli altri paesi (in minor numero)

Ora viene però la domanda che la maggior parte degli utenti si sarà già fatta, cosa fa questo malware?
La risposta è molto semplice da dare, XcodeGhost si limita, per ora, a collezionare informazioni riguardanti il nostro dispositivo, a criptarle a caricarle su un server messo in piedi da chi ha sviluppato il malware.
Le informazioni che possono essere collezionate dal malware sono le seguenti:

  • Ora attuale
  • Nome dell’app infettata
  • Bundle Identifier dell’App infettata
  • Nome e tipo del dispositivo in uso
  • Nazione e linguaggio utilizzato sul device
  • UUID
  • Tipo di connessione utilizzata

La società Palo Alto Networks ha inoltre scoperto che i dispositivi infetti possono ricevere comandi dagli attaccanti direttamente via server per eseguire le seguenti azioni:

  • Creare una finta finestra di dialogo per rubare le credenziali dell’utente
  • Aprire URL specifici che possano permettere lo sfruttamento di vulnerabilità in iOS o in altre applicazioni
  • Leggere e scrivere dati nella clipboard dell’utente, questo potrebbe essere sfruttato per capire le password dell’utente nel caso in cui questo le stesse copiando da una applicazione dedicata

Altra domanda interessante riguarda l’elenco delle applicazioni infettate da questo malware, tra queste spiccano ovviamente la nota WeChat, app di messaggistica utilizzata specialmente in Cina ma anche il gioco Angry Birds 2 da poco rilasciato in App Store, i ragazzi di MacRumors hanno provveduto alla creazione di una lista quasi completa che potete trovare nel loro forum.

Per risolvere il problema sono stati rilasciati in App Store degli aggiornamenti delle applicazioni infette e la stessa Apple ha aggiunto alcuni server in Cina in modo da evitare il ripetersi di un episodio di questo genere.

Alcuni di voi si saranno sicuramente chiesti chi ci può essere dietro ad un attacco di questa portataFireEye ha risposto puntando il dito contro la CIA.
La tecnica usata da XcodeGhost infatti è simile a quella utilizzata in passato da questa agenzia di sicurezza, informazioni riguardo a questo metodo sono state diffuse lo scorso Marzo da Edward Snowden.
Nei documenti si parla di come la CIA avesse intenzione di manipolare Xcode per aggiungere una backdoor all’interno delle applicazioni iOS senza che gli sviluppatori sapessero niente.

Per combattere il malware gli utenti possono eseguire delle semplici azioni quali aggiornare le applicazioni che potrebbero essere infette e cambiare le password utilizzate su iOS, specialmente quella di iCloud.

Grazie a Camillo per la segnalazione


Fonti :


4 commenti

  1. non c’è modo di conoscere la lista completa? Per esempio una app che ho acquistato (iScanner Pro) ora invia un messaggio comunicando chennon fanno più assistenza sulla versione in uso perché Apple l’ha ritirata dall’app store e invitano a scaricare una nuova versione (che sembrerebbe identica alla precedente). non sarà che è stat ricompilata con l’XCode originale anziché con il tarocco cinese?

  2. Riguardo a angry birds nel pacchetto di 400 gb rubati alla
    Società HackerTeam riguardo al software Galileo c’è in mezzo una versione di angry Birds per Android.. Non vorrei che anche questa sia infetta. Perché sennò mi puzza di qualcosa. (Se ho il dubbio che sia infetta è perché ho letto i vari manuali e tutto il resto)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.