iOS è ampiamente considerato come uno dei sistemi operativi mobili più sicuri. È stato progettato da zero per essere sicuro e, di conseguenza, ha evitato molte delle minacce alla sicurezza che hanno afflitto Android.
Le poche minacce esistenti per la piattaforma Smartphone Security: gli iPhone possono ottenere malware? Smartphone Security: gli iPhone possono ottenere malware? I malware che colpiscono "migliaia" di iPhone possono rubare le credenziali di App Store, ma la maggior parte degli utenti iOS sono perfettamente al sicuro - quindi qual è il problema con iOS e il software canaglia? Leggi di più tendono ad essere centrati attorno ai dispositivi jailbroken 4 Motivi di sicurezza irresistibili per non eseguire il jailbreak del tuo iPhone o iPad 4 motivi di sicurezza irresistibili non per il jailbreak Il tuo jailbreak iPhone o iPad può sbarazzarsi delle molte restrizioni di Apple, ma prima di eseguire il jailbreak del tuo dispositivo è una buona idea per valutare i vantaggi e i potenziali inconvenienti. Leggi di più o altri che sono stati altrimenti compromessi o sfrutta i certificati aziendali rubati.
Ma AceDeceiver è diverso. È stato scoperto da Palo Alto Networks all'inizio di questa settimana ed è in grado di infettare gli iPhone configurati in fabbrica senza che l'utente se ne accorga, sfruttando i difetti fondamentali del sistema FairPlay DRM di Apple.
Dalla pirateria al malware
Il modo in cui AceDeceiver è distribuito si basa su qualcosa chiamato "FairPlay Man-In-the-Middle", che è una tattica comune che è stata utilizzata dal 2013 per installare applicazioni pirata su iPhone e iPad non jailbroken.
Quando una persona acquista un'applicazione iPhone da un computer, l'applicazione può essere inviata immediatamente a quel telefono. Ma tra l'acquisto effettuato e l'applicazione che viene consegnata, c'è un sacco di comunicazioni tra i dispositivi e i server Apple.
In particolare, Apple invierà un codice di autorizzazione al dispositivo iOS, che in sostanza afferma al dispositivo client che l'applicazione è stata legittimamente acquistata. Se qualcuno acquisisce uno di questi codici di autorizzazione ed è in grado di simulare il modo in cui i server Apple interagiscono con i dispositivi iOS, sarà in grado di inviare applicazioni a quel dispositivo.
Queste applicazioni possono essere applicazioni che non sono state autorizzate da Apple a comparire su App Store 8 Linee guida ridicole e incoerenti di Apple App Store [parere] 8 Linee guida ridicole e incoerenti di Apple App Store [parere] Ecco un'opinione radicale - dovresti essere in grado per eseguire qualsiasi app che ti piace sui dispositivi che possiedi. Apple non è d'accordo, e si è trasformato in pretzels creando regole arbitrarie per quale app ... Leggi di più, o potrebbero essere applicazioni piratate.
In questo caso, le applicazioni distribuite da questo romanzo girano su "Fairplay Man-In-The-Middle" sono applicazioni malware.
Scopri Aisi Helper
Per questo attacco, FairPlay Man-In-The-Middle che cos'è un attacco Man-in-the-Middle? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza ha spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Per saperne di più, l'attacco viene eseguito da Aisi Helper, un'applicazione software Windows, che si ritiene sia stata sviluppata a Shenzhen, in Cina.
Al valore nominale, pretende di essere un legittimo prodotto di gestione di iDevice di terze parti. Ha molte trappole di programmi legittimi. Consente agli utenti di effettuare il jailbreak e il backup dei dispositivi sulla rete locale e di reinstallare iOS se necessario. È essenzialmente iTunes, anche se senza il lettore musicale, e mira direttamente al mercato cinese.
Secondo ITJuzi, che identifica le startup nel mercato cinese, è stato rilasciato per la prima volta nel 2014. Allora, non conteneva alcun comportamento dannoso. Da allora, è stato ampiamente modificato per utilizzare la strategia di cui sopra, al fine di distribuire malware a tutti i dispositivi connessi.
Quando Aisi Helper rileva un dispositivo connesso, automaticamente e senza il consenso dell'utente, avvia l'installazione di AppDeciever Trojan. L'unico suggerimento che ciò accada è che un'applicazione misteriosa e indesiderata apparirà nell'elenco di app dell'utente.
Il malware AceDeceiver
Al momento della scrittura, ci sono stati tre di questi Trojan. Finora, ciascuno di essi è stato mascherato come app per la carta da parati. Ognuno di questi è stato reso disponibile su App Store, dopo aver passato i controlli del codice sorgente notoriamente severi di Apple, dove viene esaminato al momento dell'invio e ad ogni successivo aggiornamento. Questo, in teoria, avrebbe dovuto impedire loro di comparire nell'App Store.
Palo Alto Networks ritiene che gli sviluppatori siano stati in grado di ignorare questi assegni presentandoli al di fuori della Cina e inizialmente rendendoli disponibili solo a una manciata di mercati, come il Regno Unito e la Nuova Zelanda.
Questa specifica variante del malware AceDeciever rimane inattiva a meno che il dispositivo non abbia un indirizzo IP nella Repubblica popolare cinese. È chiaro a causa di questo, e al mezzo di consegna, che è rivolto agli utenti cinesi. Anche se potrebbe avere un impatto su chiunque usi una VPN cinese o qualcuno che viaggia in Cina.
Quando il malware rileva che il dispositivo si trova in Cina, si trasformerà da semplice applicazione per scaricare e cambiare wallpwapers, da uno che si maschera da diversi servizi Apple, come App Store e Game Center.
Lo scopo di questo è, prevedibilmente, raccogliere le credenziali di Apple. Ciò consentirebbe quindi all'aggressore di acquistare applicazioni e libri elettronici che hanno pubblicato su App Store e, a sua volta, generare profitti in buona salute. Tuttavia, AppDeciever non può semplicemente 'accedere' a queste credenziali, poiché sono memorizzate in modo sicuro in un contenitore crittografato.
Quindi, utilizza le tattiche di social engineering. What Is Social Engineering? [MakeUseOf Explains] Cos'è l'ingegneria sociale? [MakeUseOf Explains] È possibile installare il firewall più potente e costoso del settore. Puoi educare i dipendenti sulle procedure di sicurezza di base e sull'importanza di scegliere password sicure. Puoi persino bloccare la stanza del server, ma come ... Leggi di più invece. AceDeceiver mostrerà pop-up che sembrano provenire da Apple, chiedendo all'utente di confermare le proprie credenziali. Quando l'utente è conforme, questi vengono inviati attraverso la rete a un server remoto.
Da allora queste applicazioni sono state rimosse dal negozio. Nonostante ciò, possono ancora essere installati da un attaccante, sfruttando l'attacco Man-In-The-Middle di FairPlay.
Dovresti essere preoccupato?
Quindi, passiamo al sodo. Hai motivo di preoccuparti di questo? Bene, sì e no.
In questo momento, la principale manifestazione di questo è incentrata sulla Cina. Si rivolge agli iPhone cinesi, è dormiente al di fuori della Cina e utilizza tattiche di social engineering che sono attentamente elaborate per avere successo contro gli utenti cinesi.
Ma nonostante ciò, c'è motivo di preoccupazione. Dopotutto, si basa su una tattica che è stata utilizzata dal 2013 per installare software piratato. Tre anni dopo, questo buco deve ancora essere chiuso, ed è ancora alla fine sfruttabile .
Il fatto che sia stato pubblicato con successo su App Store tre volte pone anche serie domande sulla capacità di Apple di mantenerlo privo di malware.
Inoltre, come sottolineato da Palo Alto Labs, sarebbe banale rilavorare questo malware agli utenti target negli Stati Uniti o in Europa.
In questo momento, non c'è molto che possa essere fatto per combatterlo. Palo Alto Networks consiglia a chiunque abbia installato Aisi Helper di disinstallarlo immediatamente. Dicono anche che le vittime dovrebbero attivare l'autenticazione a due fattori, oltre a cambiare le loro password.
Hanno anche rilasciato due firme IPS (Intrusion Prevention System) per le aziende che utilizzano le loro appliance firewall, al fine di bloccare l'attacco. Purtroppo, questi non sono disponibili per i consumatori.
A voi
Eri affetto dal malware AceDeceiver? Conosci qualcuno che era? Parlamene nei commenti qui sotto.