Sicurezza

Strani pezzi di malware in un’app iOS

Bitdefender ha scovato un "falso positivo" di origine piuttosto curiosa nel gioco Simply Find It, disponibile sull'iTunes store. Lanciando una scansione sul file di installazione, infatti, risulta che in un file MP3 eseguito durante il gioco sia sepolto un iframe che reindirizza gli utenti su di un sito cinese.

Di solito, un file MP3 che punta a una pagina Internet significa "malware", ma in questo caso il sito di destinazione non è attivo e quel pezzetto di codice sembra esser finito nel file MP3 per puro caso, magari a causa di una infezione sul computer di chi ha prodotto l’effetto sonoro. Del resto, non è la prima volta che un App regolarmente approvata per l'iOS store contiene tracce di malware.

L'importante è che siano solo tracce o residui innocui. Già nel luglio 2012, infatti, fu trovata un'app contenente un virus programmato però per Windows e gli sviluppatori del programma non ne erano nemmeno a conoscenza.

Quel pezzetto di codice potrebbe essere finito lì per caso, ma potrebbe anche essere un sistema per testare le capacità di Apple di scovare minacce nascoste in luoghi davvero difficili da indovinare.

Questo caso sembra analogo: il gioco infatti non sembra fare alcun uso della stringa HTML infetta, un po' come se il file fosse stato infettato in qualche modo durante lo sviluppo del programma senza nessuna colpa da parte degli sviluppatori, come del resto è successo nel caso già citato dello scorso anno. Apple normalmente testa le applicazioni in modo approfondito ed è probabile che l'iframe in questione non sia stato nemmeno rilevato; anche molti altri programmi antivirus hanno dato risultati negativi in merito alla presenza di qualsiasi malware all'interno dell'app. 

Tuttavia l'esperto di security Rich Mogul, intervistato da MacWorld in merito all'episodio, ha dichiarato che "un link ad un malware che non funziona non è un pericolo", quindi è probabile che l'utenza Apple non debba preoccuparsi di nulla, così come quasi certamente Apple farà notare e correggere l'errore al produttore dell'applicazione.

Ma è anche vero che un link che non funziona oggi non è detto che non inizi a funzionare nel futuro e gli esperti di sicurezza tendono sempre a ricordare che gli autori dei malware sono soliti "testare" i sistemi di rilevazione delle minacce tramite versioni "blande" degli exploit veri e propri, in modo da farsi un'idea di dove siano le falle per sfruttarle al meglio.