Apple ha deciso di rispondere ufficialmente al polverone sollevato dal Masque Attack, quella vulnerabilità di iOS che permetterebbe di sostituire applicazioni lecite con altre malevole, senza che l’utente se ne accorga. La società ha spiegato come la problematica sia solamente potenziale e come, al momento, non si abbia notizia di device affetti.
Il cosiddetto Masque Attack è stato scoperto qualche giorno fa da una società di sicurezza, sebbene al momento l’applicabilità sia solo teorica. Generalizzando, un malintenzionato potrebbe sfruttare la capacità degli sviluppatori di installare applicazioni al di fuori di App Store, inoltrando all’utente un link per il test del software. Avviato il download, anziché l’installazione di una nuova App ne viene sostituita una già esistente, del tutto lecita. Questo comporta vari rischi per l’utilizzatore, tra cui la raccolta indebita di dati personali e altre informazioni sensibili.
In una dichiarazione rilasciata per la testata iMore, Apple ha voluto sottolineare come le possibilità di un simile attacco siano remotissime, soprattutto se l’utente ha attivato tutte le opzioni di sicurezza del sistema operativo mobile, disponibili sia su iOS 7 che su iOS 8:
Abbiamo progettato OS X e iOS con delle incorporate garanzie di sicurezza, per aiutare i clienti a proteggersi e avvisarli prima di installare del software potenzialmente malevolo. Non siamo a conoscenza di nessun cliente che sia stato in realtà vittima di questo attacco. Incoraggiamo i consumatori a scaricare software unicamente da fonti affidabili come App Store e di prestare attenzione a ogni avviso mentre scaricano l’app. Gli utenti aziendali che installano app personalizzate, dovrebbero farlo utilizzano unicamente il sito sicuro della loro compagnia.
Così come spiegato dalla società FireEye, che ha scoperto l’attacco, i malintenzionati potrebbero sfruttare a loro vantaggio il sistema di distribuzione Enterprise pensato da Apple, con cui un’azienda o uno sviluppatore può inoltrare a dipendenti o beta-tester software non ufficialmente presente su App Store. La tecnica è molto simile al phishing, poiché si avvale di un falso link per il download che il consumatore percepisce come legittimo.