Sicurezza

Malware per iPhone e iPad senza Jailbreak, in Cina

È stato scoperto un nuovo malware che colpisce iPhone e iPad. Si chiama Wirelurker e l'hanno individuato gli esperti di Palo Alto Networks, evidenziando che si tratta di un caso più unico che raro: colpisce infatti anche i dispositivi senza Jailbreak, considerati fino a oggi molto sicuri.

Secondo la prima analisi Wirelurker potrebbe aver già raggiunto centinaia di migliaia di persone quasi tutte in Cina. Wirelurker non infetta direttamente il dispositivo iOS ma s'insinua prima nel Mac e poi raggiunge l'iPhone o l'iPad tramite il collegamento USB.

iPhone

iPhone

Il mezzo d'infezione in questo caso si chiama Maiyadi App Store, uno strumento alternativo all'App Store di Apple per installare applicazioni. Ancora una volta quindi si deve parlare di applicazioni non ufficiali, un dettaglio che limita molto la portata della minaccia – ma non si tratta necessariamente di pirateria. In ogni caso, dal punto di vista tecnico Wirelurker segna una svolta nelle minacce per iOS.

Quando si collega lo smartphone questo software può installare applicazioni non richieste dall'utente, o anche generare nuovo malware automaticamente e trasferirlo sul dispositivo mobile. Secondo Claud Xiao di Palo Alto Networks è la prima volta che si osserva un comportamento del genere. Wirelurker inoltre si è rivelato capace anche di infettare applicazioni già installate.

Apple ha confermato l'esistenza del problema ed è intervenuta bloccando i certificati aziendali usati per firmare le applicazioni infetti, in modo tale che non si possano più installare. Le applicazioni già installate, dopo la rimozione del certificato, inoltre non si possono più avviare. Questa soluzione protegge solo i dispositivi senza Jailbreak. 

In passato si erano già viste tecniche simili, solo in contesti dimostrativi, ma Wirelurker "combina diverse tecniche per creare con successo un nuovo tipo di minaccia per tutti i dispositivi iOS", scrive Xiao. Questo malware mostra infatti "una struttura del codice complessa, versioni con molti componenti, file nascosti, offuscamento del codice e crittografia personalizzata". Una volta infettato il dispositivo, Wirelurker può sottrarre informazioni di ogni genere e anche ricevere aggiornamenti dal server CC (Command and Control).  

iPhone 6 Custodia iPhone 6 Custodia
doupi UltraSlim Case per iPhone 6 doupi UltraSlim Case per iPhone 6
IVSO Slim Armor Cover Custodia per Apple iPhone 6 IVSO Slim Armor Cover Custodia per Apple iPhone 6

I consigli per rimediare, indirizzati alle aziende, consistono nel deviare il traffico su un sistema che analizzi i pacchetti, usare antivirus sui Mac e bloccare l'installazione di applicazioni che non siano sull'App Store per OS X – cioè attivare Gatekeeper (OS X con Gatekeeper è più sicuro ma spaventa chi sviluppa).

La minaccia concreta, oggi, non è probabilmente molto alta. I dettagli tecnici di Wirelurker tuttavia lasciano intendere che se in qualche modo si riesce a infettare un Mac dopodiché è possibile anche colpire un iPhone (L'iPhone è nudo: iOS è pieno di backdoor messe da Apple). Per ora è un problema del tutto teorico, ma certe cose si evolvono in fretta.

Aggiornamento: l'articolo è stato modificato per evidenziare che Apple ha rilevato la minaccia ed è intervenuta di conseguenza.