Il 95% di iPhone e iPad sono esposti all'installazione di applicazioni pericolose: la minaccia si chiama Masque Attack e la sua prima manifestazione è emersa in Cina alcuni giorni fa con il nome di Wirelurker. Lo segnala la società di sicurezza FireEye, che ha pubblicato anche un video dimostrativo. Apple è stata informata lo scorso luglio ed è al lavoro su una soluzione.
L'attacco potrebbe consistere in un messaggio che invita a scaricare una nuova app o un aggiornamento; è poi possibile sostituire una delle applicazioni installate con il malware – il video dimostrativo mostra la sostituzione di Gmail.
Evolversi di Masque Attack
"Questa vulnerabilità esiste perché iOS non usa certificati e corrispondenze per le applicazioni con la stessa identificazione (bundle identifier)", ha spiegato a The Register un portavoce di FireWye, aggiungendo poi che basta che il nome file sia lo stesso per sostituire un'applicazione legittima.
L'attacco Masque Attack è possibile grazie anche ai certificati e alle API degli app store alternativi realizzati per le aziende: non si tratta di pirateria, ma di spazi creati per la distribuzione di applicazioni specifiche senza passare dall'App Store ufficiale.
In estrema sintesi, l'iPhone non è in grado di capire la differenza tra il file originale e quello contraffatto. Unico limite, per ora, è che l'attacco riguarda solo applicazioni di terze parti: quelle di Apple (Mail, Safari, Contatti, etc.) sembrano impossibili da sostituire con questa tecnica.
Per gli utenti Apple si tratta del secondo durissimo colpo in pochi giorni: prima Wirelurker ha mostrato che è possibile infettare un iPhone senza jailbreak, ma ci si consolava con il fatto che fosse necessario un collegamento USB - e un pochino anche perché riguardava solo utenti cinesi. Oggi invece si scopre che l'attacco è possibile anche con un semplice SMS, senza alcun cavo.
Chi credeva fino a ieri che l'iPhone fosse lo smartphone più sicuro dovrà quindi ricredersi e aprire gli occhi di fronte al re nudo. Bisognerà quindi fare attenzione a quali link si cliccano (toccano): il consiglio di FireEye è infatti di non cliccare mai "installa" che si tratti di un pop-up pubblicitario in un sito o in un'applicazione, ed evitare accuratamente le applicazioni che portano ad avvisi di sicurezza.
Sono le stesse semplici precauzioni che devono prendere anche gli utenti Android, ma il rischio potrebbe risultare accentuato proprio perché chi usa iPhone e iPad non è abituato a gestire questo tipo di minaccia, e potrebbe risultare quindi un bersaglio ancora più facile.