In genere, gli utenti iPhone considerano i loro telefoni delle fortezze inespugnabili che Apple ha costruito per loro: spesso si dice che gli iPhone siano sicuri, specialmente se paragonati ai dispositivi Android. Sì, sono davvero più sicuri dei telefoni Android, ma questo non significa che siano completamente sicuri. Come sapete, non ci sono fortezze che non possano essere conquistate.
Abbiamo già trattato non uno soltanto ma diverse, spiacevoli minacce a iOS e abbiamo fornito dei consigli per rendere sicuri i vostri gadget Apple. Tuttavia, il malware ai danni di iOS continua a emergere e il campione più recente, scoperto da Palo Alto Networks, sembra essere, a oggi, uno dei più pericolosi.
Perché? Perché non richiede che sul vostro dispositivo iOS sia effettuato il jailbreak, né che si serva di certificati aziendali rubati per installare un software dannoso. La nuova familia di malware si chiama AceDeceiver ed è in grado di infettare praticamente qualsiasi dispositivo iOS.
Le buone intenzioni
Tutto è cominciato con la brillante idea di qualcuno di non pagare per ciò che volevano. In questo caso, si trattava di un metodo per fare copie pirata di app Ios chiamato attacco FairPlay Man-in-the-Middle. Non perderemo tempo a spiegarvi qui il concetto degli attacchi Man-in-the-Middle, potete saperne di più con un post dedicato. Qui ci focalizzeremo piuttosto su cos’è FairPlay e su come AceDeceiver effettivamente funzioni.
Trojan Exploits Apple DRM Flaw, Plants #Malware On Non-Jailbroken #iOS Devices: https://t.co/n5MHIRbOn7 pic.twitter.com/SluytGnjmJ
— Kaspersky (@kaspersky) March 16, 2016
FairPlay è la protezione DRM che utilizza Apple per la musica e i video, come pure per le app iOS. Come probabilmente sapete, gli utenti iPhone possono acquistare le app dal client di iTunes sui loro computer e quindi trasferirle ai telefoni. Ovviamente, richiede una prova che l’utente abbia davvero acquistato la app e viene recapitata tramite un codice di autorizzazione generato da iTunes per ogni applicazione. Ecco come funziona FairPlay.
Il punto è che il codice è sempre lo stesso per ogni app. E se siete riusciti a intercettarlo una volta, potete utilizzarlo per installare la stessa app su un numero illimitato di iPhone and iPad. In sostanza è così che funziona FairPlay Man-in-the-Middle.
L‘app con due facce
Alla fine, il metodo si è evoluto fino a creare un app store pirata completo. Era basato su un programma di Windows, Aisi Helper, che in principio era usato per effettuare il jailbreak degli iPhone, fare il backup dei dati e reinstallare iOS. A questo tool era stata aggiunta una nuova funzione: cominciava a inserire un’app con lo stesso nome in qualsiasi iPhone connesso a un computer con Aisi Helper installata. Quella app mostra un sacco di app pirata che gli utenti potrebbero scaricare gratuitamente.
10 tips to make your #iPhone even more secure http://t.co/FBaWOZY5W5 #security #privacy
— Kaspersky (@kaspersky) September 30, 2014
Curiosamente, questa stessa app Aisi Helper era stata installata utilizzando la medesima tecnica FairPlay Man-in-the-Middle. Ecco perché per inserire Aisi Helper negli iPhone, i suoi creatori dovevano dapprima caricarla sull’App Store, per ottenere un codice di autenticazione legale per questa app specifica. Il problema era che, in effetti, alla Apple non piacciono gli app shop pirata all’interno dell’App Store.
Per allettare i code reviewer Apple, Aisi Helper fingeva di essere un’innocua e noiosa app gratuita di sfondi. Per esseri sicuri che nessuno scoprisse mai la verità, i delinquenti si sono serviti di un doppio trucco. Da una parte, hanno pubblicato versioni di questa app solo negli App Store di Stati Uniti e Regno Unito, al di là della portata degli utenti cinesi. Dall’altra, quando è stata lanciata per la prima volta, la app ha registrato la localizzazione del telefono e se non era in Cina, mostrava solo sfondi (e così ha fatto da allora).
Quindi, per vedere la vera interfaccia pirata, i code reviewer dell’App Store statunitense, come qualunque altro utente casuale, devono trovarsi in Cina, cosa molto improbabile. Ecco perché mai nessuno si è accorto che l’app è più di una qualsiasi serie di sfondi.
Chinese Mobile Ad Library Backdoored to Spy on iOS Devices: https://t.co/1kpMrH8HJC via @thretapost pic.twitter.com/0I1RTUEWln
— Kaspersky (@kaspersky) November 4, 2015
Apple ha ormai rimosso dall’App Store tutte le versioni della app Aisi Helper. Ma ciò non significa la scomparsa di questo malware. Per operare un attacco FairPlay Man-in-the Middle non c’è proprio bisogno di avere un’app nell’App Store. La condizione è che sia stata lì una volta. E questo è vero al 100% per quelle di Aisi Helper.
Il gioco sporco
Dunque, cos’è che non va con un app store pirata, a parte le questioni legali e morali? Bene, se qualcuno vi dice qualcosa come “L’ho rubato e adesso te lo dò gratis”, non credetegli. Mai. Cè una probabilità del 99,9% che vi stiano fregando.
E questo è esattamente il caso. Queste app per un pezzo sono state innocue, ma a un certo punto, hanno cominciato a chiedere ai loro utenti di inserire le credenziali d’accesso dell’ID Apple “per funzioni aggiuntive”. In seguito, quelle credenziali sono state caricate sul server di comando di AceDeceiver.
7 #iPhone Apps for your Security http://t.co/lFNTv8RxLM #FindMyiPhone #iOS
— Kaspersky (@kaspersky) April 21, 2014
Penso che adesso sia piuttosto chiaro perché stiamo parlando di AceDeceiver su Kaspersky Daily. Il difetto nella sicurezza di FairPlay non è ancora corretto. E anche se lo fosse, la versione più vecchia di iOS probabilmente rimarrebbe vulnerabile allo stesso attacco.
OK, cosa posso fare per proteggermi?
La buona notizia è che questo particolare attacco non colpisce soggetti fuori dalla Cina. Quella cattiva è che è piuttosto facile per i delinquenti approfittare nuovamente di questa vulnerabilità e creare dei nuovi malware che colpirebbero altri paesi, facendo ancora più danno. Non importa se viviate o meno in Cina, vi suggeriamo di fare quanto segue:
- Non cercate di effettuare il jailbreak sul vostro iPhone. Non è mai stato sicuro, e come potete vedere, neanche il software richiesto per compiere questa operazione è sicuro.
Tips: Never root or jailbreak your device, only use official app market, read user review #relentless #obsession #mobile #kaspersky
— Kaspersky (@kaspersky) July 22, 2013
- Abbiamo sempre suggerito di seguire questa regola per Google Play, ma pare vada bene anche per l’App Store: prestate attenzione alle app che installate. I creatori di AceDeceiver hanno dimostrato che i code review di Apple possono essere bypassati con qualche raggiro. Sfortunatamente, il software antivirus non è consentito su iOS, quindi una volta che il malware è dentro, non c’è più niente da fare.
- Per fortuna, potete proteggere gli altri vostri dispositivi. Assicuratevi di possedere, ovunque sia possibile, delle buone soluzioni di sicurezza. In questo caso, un software antivirus sul PC avrebbe rilevato Aisi Helper come il dannoso AceDeceiver.