I ricercatori di Palo Alto Networks (1) hanno identificato una nuova famiglia di malware per iOS in grado di infettare anche i terminali “stock”, cioè quelli sui quali non è stato effettuato il jailbreak, alla quale è stato dato il nome “AceDeceiver” (che è, in sostanza) il nome dell’applicazione che trasporta il vettore di attacco a iOS scoperta sull’App Store di Apple).
Ciò che differenzia AceDeceiver dalle precedenti generazioni di malware per iOS è il fatto che invece di abusare di certificati di sicurezza di classe enterprise acquisiti illecitamente, come avveniva per le precedenti generazioni di malware, questo, invece, riesce ad installarsi fraudolentemente nei terminali senza fare uso di alcun certificato. Questo avviene perché AceDeceiver sfrutta una falla nei meccanismi dei DRM (2) di Apple – precisamente nel meccanismo di protezione denominato FairPlay – al fine di installare software malevolo sui terminali dotati del sistema operativo iOS, indipendentemente dal fatto che questi siano stock, ovvero abbiano subito il jailbreak (3).
Questa tecnica è nota come “FairPlay Man-In-The-Middle (MITM)” (4) ed è stata in precedenza utilizzata, sino dal 2013, per distribuire applicazioni iOS piratate, ma è la prima volta che viene utilizzata per diffondere un malware.
Come noto, Apple consente agli utenti di acquistare e scaricare applicazioni per iOS dall’App Store mediante iTunes e quindi di installare le applicazioni scaricate sui vari dispositivi mobili (iPhone, iPad e iPod); questi ultimi, durante l’installazione, richiedono un codice di autorizzazione per accertarsi che l’applicazione sia effettivamente quella che dice di essere (cioè che sia quella effettivamente presente nello Store e non, invece, un’applicazione malevola).
Durante l’esecuzione della tecnica FairPlay MITM invece, l’attaccante dapprima acquista un’applicazione sull’App Store, al fine di intercettare, rilevare e salvare il relativo codice di autorizzazione e quindi inserisce il codice in un programma che simula il funzionamento legittimo di iTunes, inducendo i terminali iOS a scaricare applicazioni che il loro proprietario non ha in realtà mai richiesto.
La tecnica di attacco richiamata (che in realtà è più complessa, nella pratica, rispetto alla mia sintetica descrizione) è descritta graficamente nell’immagine visibile al link:
http://researchcenter.paloaltonetwork…68×375.png
È emerso che tre differenti applicazioni per iOS contenenti il vettore di attacco descritto sono state surrettiziamente caricate sull’App Store tra luglio 2015 e febbraio 2016: si trattava, in tutti e tre i casi, di applicazioni per l’installazione di sfondi per lo schermo. Queste applicazioni hanno passato con successo la verifica del codice da parte di Apple per ben sette volte (in quanto la verificata viene fatta una prima volta quando l’applicazione viene proposta e poi anche quando lo sviluppatore effettua delle modifiche) utilizzando una tecnica già nota, per la quale l’applicazione, quando viene sottoposta ad un audit del codice, modifica il proprio comportamento in base alla regione geografica nella quale viene eseguita. Nel caso di specie, AceDeceiver mostra il comportamento malevolo solo quando l’utente che la manda in esecuzione viene localizzato in Cina.
Apple ha rimosso le tre applicazioni incriminate dall’App Store subito dopo la segnalazione dei ricercatori di Palo Alto Networks, inoltrata nel febbraio 2016. Sfortunatamente però, l’attacco FairPlay MITM rimane comunque praticabile, perché una volta che l’attaccante abbia acquisito il codice di autorizzazione da Apple, l’applicazione malevola può comunque essere distribuita mediante canali diversi dall’App Store, risultando sempre come un’applicazione legittimamente rilasciata da Apple (ecco perché i canali di distribuzione “alternativi” delle applicazioni per iOS possono risultare, talvolta, decisamente pericolosi)
Nell’attacco oggetto di esame, è stato creato un software per Windows denominato “Aisi Helper”, la cui funzione ufficiale sarebbe stata quella di essere uno strumento per eseguire, su un dispositivo mobile Apple, la reinstallazione di iOS, effettuare il jailbreak, il backup del sistema, la pulizia dai file inutili o ridondanti e, più in generale, di gestire il dispositivo iOS sotto ogni aspetto. Ciò che in realtà faceva il suddetto programma, invece, era di installare un’applicazione malevola su ogni dispositivo iOS che venisse connesso al PC sul quale girava Aisi Helper (è però evidente che la medesima tecnica potrebbe funzionare anche con un programma svilupparto per Mac OS X, dato che l’utente è indotto a credere che si tratti di un software legittimo e quindi ad installarlo volontariamente nel sistema). Questa applicazione per iOS infetta aveva quindi lo scopo di connettere il dispositivo iOS ad un finto App Store, residente su un server remoto gestito dal cyber criminale, inducendo l’utente ad inserire le proprie credenziali ed i dati della carta di credito associata all’App Store.
Al momento, parrebbe che la diffusione di AceDeceiver sia limitata alla Cina, ma rimane il fatto che la sua esistenza prova che esiste un metodo, efficace e tutto sommato relativamente semplice, di infettare anche i dispositivi iOS che non hanno subito la procedura di jailbreak, ritenuti sino ad ora relativamente “sicuri”. Appare dunque possibile che questo particolare vettore di attacco possa comparire, a breve, anche in aree geografiche diverse dalla Cina.
Si deve inoltre rilevare che questo tipo di attacco parrebbe essere più pericoloso dei precedenti, per una serie di ragioni:
1. non richiede l’utilizzo di un certificato di sicurezza di classe enterprise e la sua esecuzione non necessita dell’intervento diretto dell’utente;
2. anche se il problema fosse oggetto di una specifica patch, è verosimile che l’attacco continuerebbe comunque a funzionare sulle vecchie versioni di iOS;
3. a differenza di quanto accadeva in precedenza, le vittime non devono installare manualmente l’applicazione malevola, perché viene fatto automaticamente;
4. l’infezione del dispositivo iOS, mediante il PC infettato dal malware al quale il dispositivo viene connesso, viene effettuata in background, senza che l’utente se ne renda conto, salvo per il fatto che nel dispositivo comparirà una nuova app, ma l’utente generico medio, che ne installa e disinstalla 47 al giorno, come volete che se ne accorga?
Il report completo dei ricercatori di Palo Alto Networks, in lingua inglese e contenente una dettagliata descrizione del malware, delle sue implementazioni e dei metodi di diffusione, è disponibile qui:
http://researchcenter.paloaltonetwork…os-device/
(1): Palo Alto Networks è una società statunitense specializzata in prodotti e strategie per la sicurezza informatica dedicati alle imprese, che vanta oltre 30.000 clienti, distribuiti in 140 paesi. (https://www.paloaltonetworks.com/company)
(2): L’acronimo DRM, cioè Digital Rights Management, il cui significato letterale è “gestione dei diritti digitali”, indica, genericamente, i sistemi tecnologici mediante i quali i titolari di diritto d’autore (e dei diritti connessi) possono tutelare, esercitare ed amministrare tali diritti nell’ambiente digitale.
(3): Il jailbreak è una procedura che permette di installare su un dispositivo mobile Apple meccanismi di distribuzione di applicazioni e pacchetti, anche non firmati digitalmente, alternativi a quello ufficiale dell’App Store.
(4): Nella sicurezza informatica la locuzione man in the middle indica un tipo di attacco crittografico, meglio conosciuto come man in the middle attack, MITM o MIM, nel quale l’attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti comunicanti tra di loro.