Ci siamo occupati della questione sicurezza su apparati Apple già a settembre ma avevamo iniziato a denunciato le carenze della casa di Palo Alto già a giugno ed infatti Apple non ci ha delusi ripetendosi qualche settimana fa con XcodeGhost introdotta attraverso un “Fork” contenente codice malevolo dell’utility Xcode (tra la 61.1 e la 6.4 incluse) la piattaforma più usata per programmare le app Apple, in modo da includere un malware nelle app lecitamente inviate all’App Store ufficiale. Apple si era affrettata a confermare questo attacco “indiretto” ed ha ammesso di aver già trovato e rimosso almeno 50 applicazioni compromesse, presenti in App Store occidentali, ma anche al mercato asiatico.
Tra le applicazioni “corrotte” spicca il nome di WeChat, che in oriente vanta centinaia di milioni di utenti, ma non mancano anche servizi più “delicati” come quello di Didi Kuadi, un social riding service simile a Uber, oppure CamCard, un programma che gestisce i biglietti da visita.
XcodeGhost gode di tutti i privilegi garantiti all’app alla quale è stato agganciato, accedendo quindi (potenzialmente) a rubriche, fotocamera, videocamera, identificativo unico del dispositivo e così via, quindi il fatto che non riesce a evadere dalle solite sandbox in cui vengono lanciate le applicazioni risulta un mero palliativo.
Ma questa ormai è storia antica. “Oggi” (il software dannoso è stato in circolazione per oltre 10 mesi, ma solo una società di sicurezza è stato in grado di rilevarlo.) un nuovo malware battezzato “YiSpecter” ha fatto ufficialmente la comparsa e secondo la società di sicurezza Palo Alto Networks, questo software malevolo sarebbe in grado di installare e avviare app iOS, rimpiazzare app esistenti, mostrare banner pubblicitari all’avvio di altri software, cambiare il motore di ricerca di Safari e condividere informazioni relative al dispositivo su cui è installato. La cosa più grave è che per fare tutto ciò non ha bisogno del jailbreak.
YiSpecter si è diffuso spacciandosi per una nuova versione di QVOD, un media player adesso dismesso che era famoso per essere diventato una piattaforma per la condivisione di contenuti pornografici, normalmente illegali in Cina.
Apple con un comunicato ufficiale ha affermato che il problema è limitato solo ad utenti che hanno vecchie versioni di iOS e che hanno scaricato applicazioni da fonti non affidabili.
“Questo problema riguarda unicamente gli utenti che utilizzano vecchie versioni di iOS e che hanno scaricato il malware da fonti non certificate. Abbiamo identificato questa specifica vulnerabilità con l’aggiornamento 8.4 di iOS e abbiamo anche bloccato tutte le applicazioni che trasmettono questo malware. Consigliamo agli utenti di avere sempre installata l’ultima release di iOS per avere gli aggiornamenti di sicurezza. Consigliamo anche di scaricare solo da fonti affidabili come l’App Store e prestare attenzione ad ogni avviso quando si scaricano applicazioni.” Spiegando altresì “Si diffonde attraverso mezzi inconsueti, tra cui il dirottamento del traffico da ISP nazionali, un worm SNS su Windows ed un’installazione di app offline”.
YiSpecter si compone di quattro diversi componenti firmati con certificati aziendali. Tre di questi sono in grado di nascondere le loro icone dalla SpringBoard impedendone l’identificazione e l’eliminazione. Su dispositivi iOS compromessi, YiSpecter può scaricare, installare e lanciare applicazioni iOS, sostituire applicazioni esistenti con altre e dirottare l’esecuzione di altre applicazioni per visualizzare messaggi pubblicitari, cambiare motore di ricerca predefinito, segnalibri e pagine aperte di Safari e caricare informazioni del dispositivo su un server di controllo, ma il dettaglio più interessante e/o preoccupante è che il malware sembra essere in grado di colpire non solo gli iPhone e iPad sottoposti alla procedura di Jailbreak ma anche quelli con configurazione originale, considerati da sempre più sicuri e protetti.
Il malware è anche in grado di bypassare il codice di Safari per modificarne le impostazioni del browser di iOS visualizzando annunci pubblicitari a tutto schermo, il malware è in grado, inoltre di far apparire spot pubblicitari anche quando l’utente lancia l’esecuzione di applicazioni. YiSpecter è l’ultimo di una serie di malware in grado di colpire dispositivi iOS. In precedenza, il malware WireLurker aveva dimostrato di avere la capacità di infettare anche dispositivi senza jailbreak.
In base a quanto si apprende: Apple era già a conoscenza della sua esistenza ed è già al lavoro per trovare una soluzione.
