Sicurezza

App Store infetto: identificate almeno 50 app che contengono il malware XcodeGhost

Ricordate gli innumerevoli inviti a scaricare App solo da fonti attendibili? Bene, questo dovrebbe valere anche per gli sviluppatori, ma non sempre è così.

Molti creatori di App per iOS, soprattutto cinesi,  hanno infatti scaricato e usato una versione di Xcode, la piattaforma più usata per programmare le app Apple, modificata ad hoc in modo da includere un malware chiamato XcodeGhost nelle app lecitamente inviate all'App Store ufficiale.

La conferma ufficiale di questo attacco "indiretto" è arrivata da Apple, che ha ammesso di aver già trovato e rimosso almeno 50 applicazioni compromesse, soprattutto dedicate al mercato asiatico, ma anche presenti in App Store occidentali.

wechat1
WeChat ha più di 500 milioni di utenti e non è chiaro quanti di questi siano stati infettati.

Tra queste, spicca il nome di WeChat, che in oriente vanta centinaia di milioni di utenti,  ma non mancano anche servizi più "delicati" come quello di Didi Kuadi, un social riding service simile a Uber, oppure CamCard, un programma che gestisce i biglietti da visita. Qui trovate una lista completa delle applicazioni identificate finora.

Christine Managhan, portavoce di Apple, ha dichiarato che le app sviluppate tramite il software modificato sono già state rimosse, annunciando anche delle misure che andranno a verificare che gli sviluppatori usino versioni lecite di Xcode.

Nel frattempo, il numero degli utenti colpiti dal malware è incerto, ma sicuramente molto elevato data l'enorme diffusione di alcune delle App coinvolte.

XcodeGhost non riesce a evadere dalle solite sandbox in cui vengono lanciate le applicazioni, ma gode di tutti i privilegi garantiti all'app alla quale è stato agganciato, accedendo quindi (potenzialmente) a rubriche, fotocamera, videocamera, identificativo unico del dispositivo e così via.

In più,  è progettato per far apparire di tanto in tanto dei falsi avvisi mirati a rubare credenziali di vario tipo, dirottare l'apertura di specifici indirizzi web in modo da sfruttare potenziali falle di sicurezza in altre app, accedere alla clipboard per isolare e carpire password che vengano copiate e incollate.

Ma come è possibile che degli sviluppatori scarichino versioni non certificate di Xcode?

Queste versioni compromesse, comprese tra la 61.1 e  la 6.4 incluse, erano state caricate sul servizio di file sharing di Baidu, una risorsa molto utilizzata dagli utenti cinesi perché le connessioni con i server ufficiali (magari posti all'estero) sono spesso molto lente.

Abitudine che non è sfuggita all'occhio attento dei criminali che l'hanno sfruttata per portare a termine uno degli attacchi più sofisticati finora mirati all'App Store e che dovrebbe ricordarci come sia poco saggio attingere a risorse non controllate.

Già poche settimane fa era stato svelato un trucco simile relativo a una procedura di jailbreaking che oltre a liberare dai vincoli i dispositivi Apple li forniva di un pratico malware in grado di attingere a qualsiasi dato sul dispositivo.

Se abbiamo dispositivi Apple, quindi, diamo un occhio alla lista delle app coinvolte e rimuoviamole finché non arriva una versione più sicura.