A pochi giorni dalle polemiche su WireLurker, il malware che ha afflitto molti iDevice in Cina, arriva una nuova minaccia per iOS. Si chiama Masque Attack e promette di diventare il nuovo incubo per i possessori di un iPhone, un iPad o un iPod Touch. Come? Sostituendo app legittime con software malevolo.
La vulnerabilità è stata scoperta da FireEye, una società dedita alla sicurezza informatica, anche se al momento non è dato sapere se malintenzionati ne facciano effettivamente ricorso. Il procedimento sfrutta un bug del sistema operativo mobile, dalla versione iOS 7.1.1 all’attuale iOS 8.1, per installare applicazioni al di fuori di App Store. Per farlo, si avvale di tecniche simili al phishing e all’ingenuità degli utenti.
Il primo passo è convincere il possessore a cliccare su un link malevolo, ad esempio tramite un messaggio email ingannevole. Fatto questo, viene attivato automaticamente un profilo di provisioning su iOS, ovvero un sistema normalmente in uso fra gli sviluppatori per offrire applicazioni in fase di test o per la sperimentazione interna. Quindi viene aggiornata un’applicazione già esistente, come ad esempio quella di GMail, trasformandola in software pericoloso. Il tutto senza che l’utente se ne accorga: un evenienza assai rischiosa, in particolare qualora la falsa applicazione sfrutti le stesse fattezze dell’originale, trasferendo silenziosamente dati personali su server remoti o dirottando denaro indebito per gli acquisti in-app.
A quanto pare, è sufficiente che l’applicazione originale e quella fasulla abbiano lo stesso bundler identifier, ovvero un codice univoco di identificazione: iOS ne consentirà l’aggiornamento. Al momento, sfruttando la falla si possono modificare a proprio piacimento tutte le applicazioni di App Store, mentre quelle stock non sarebbero a rischio.
Per evitare ogni conseguenza spiacevole, si consiglia di scaricare software solo dal negozio ufficiale di Cupertino, rifuggendo da offerte speciali e altre comunicazioni via mail. Inoltre, dalla sezione Profili del menu Generali sarà possibile rimuovere gli eventuali account di provisioning presenti. Al momento Apple non avrebbe ancora riconosciuto ufficialmente la problematica.