Masque Attack installa malware su iPhone al posto delle app

Una falla in iOS rende molto pericoloso accettare app dagli sconosciuti.



[ZEUS News - www.zeusnews.it - 13-11-2014]

masque attack ios malware

L'ultima minaccia per iOS si chiama Masque Attack, e il nome è decisamente azzeccato: il pericolo infatti si maschera da app legittima.

La scoperta della sua esistenza si deve a FireEye: l'aveva notata già a luglio e aveva subito informato Apple, cercando di non diffondere però la notizia per evitare che qualche malintenzionate ne approfittasse.

Ormai, però, il pericolo si va espandendo e non c'è più ragione di tenere il segreto; anzi, è bene informare gli utenti affinché facciano attenzione a non accettare app dagli sconosciuti.

Il problema sta in una vulnerabilità presente in iOS 7.1.1, 7.1.2, 8.0, 8.1 e 8.1.1 beta.

Sfruttarla è relativamente semplice, come il video che riportiamo più sotto dimostra. Tutto inizia quando si riceve un link - per esempio via SMS, o via email - che promette di far scaricare una nuova app senza passare dall'App Store. In sé si tratta di una pratica legittima, spesso utilizzata in ambito aziendale.

Il link può proporre un'app di qualsiasi tipo (nel video dimostrativo si spaccia per una versione di Flappy Bird) ma in realtà fa scaricare un malware; questo poi sostituisce un'app legittima già presente sull'iPhone o sull'iPad con una apparentemente identica che, però, contiene codice in grado di fare danni.

Sondaggio
Quanto dura in media la batteria del tuo smartphone?
Mezza giornata, talvolta meno
Da mattina a sera
24 ore
Un giorno e mezzo
Un paio di giorni
Tre giorni
Quattro o cinque giorni
Una settimana
Di più

Mostra i risultati (3843 voti)
Leggi i commenti (28)

Per esempio, il malware può sostituire l'app di Gmail con una copia praticamente perfetta che, oltre a svolgere le normali funzioni di posta elettronica, ruba tutti i dati inseriti. E se è già abbastanza grave che ciò avvenga con la casella email, possiamo immaginare quanto più pericoloso sarebbe se accadesse con l'app adoperata per l'home banking.

Inoltre - spiega FireEye - l'app fasulla ottiene anche accesso ai dati locali dell'app originale e può così impadronirsi per esempio delle copie delle email, o dei token di login per accedere a un account.

Masque Attack non è in grado di sostituire le app preinstallate da Apple, come Safari, ma può agire tranquillamente su tutte le altre.

In attesa che Apple risolva il problema risolvendo la falla in iOS, la prima misura difensiva da adottare è evitare di installare app che non provengano dall'App Store, e sulla cui provenienza ci possano quindi essere sempre dei dubbi.

Qui sotto, il video che mostra come funziona Masque Attack.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Google: Gli utenti dei vecchi Android si arrangino
Il malware che infetta iPhone e Mac via Usb
Il sito dei guardoni: 73mila telecamere private hackerate
Attacchi mirati sotto forma di curriculum vitae
Poodle, vulnerabilità in tutti i browser
Kevin Mitnick scova vulnerabilità e vende exploit
ShellShock, falla critica in Linux e Mac OS X

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Chi di questi 10 non ha meritato il premio Nobel per la Pace?
Elihu Root, segretario di Stato USA, vincitore nel 1912, indagato per la repressione degli indipendentisti filippini.
Aristide Briand, politico francese, vincitore nel 1926, nonostante molti sostengano che gli accordi da lui voluti abbiano portato la Germania a tentare la successiva espansione verso est.
Frank Kellogg, vincitore nel 1929: la sua idea per evitare le guerre fu sconfessata di lì a breve dalla politica tedesca.
Carl von Ossietzky, giornalista tedesco, vincitore nel 1935 per aver rivelato la politica tedesca di riarmo in violazione dei trattati. Meritava il premio, ma la tempistica fu pessima: venne deportato in un campo di concentramento.
Nessuno: nel 1948 il premio non venne assegnato. Sarebbe potuto andare a Mohandas Ghandi, ma era stato assassinato e il Comitato non permise che il premio fosse assegnato alla memoria.
Henry Kissinger e Le Duc Tho, vincitori nel 1973 per aver negoziato il ritiro delle truppe USA dal Vietnam. Il primo però approvò il bombardamento contro la Cambogia; il secondo rifiutò il premio.
Yasser Arafat, Shimon Peres e Yitzakh Rabin, vincitori nel 1994, sebbene gli accordi di Oslo abbiano avuto effetti molto brevi.
Kofi Annan e le Nazioni Unite, vincitori nel 2001, investigato nel 2004 per il coinvolgimento del figlio in un caso di pagamenti illegali nel programma Oil for Food.
Wangari Muta Maathai, vincitrice nel 2004, convinta che il virus HIV sia stato creato in laboratorio e sfuggito per errore.
Barack Obama, vincitore nel 2009, appena eletto presidente degli USA.

Mostra i risultati (1863 voti)
Ottobre 2020
Windows 10, Microsoft si prepara a rivoluzionare l'interfaccia
Windows 10 elimina la schermata Sistema, un trucco la riporta in vita
L'app che “spoglia” le donne: garante privacy apre istruttoria
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Windows 10, Pc riavviati a forza per installare le web app di Office
Quel motivetto che hai in testa? Se lo fischietti, Google lo indovina
YouTube pronta a far guerra ad Amazon
Le cipolle troppo sexy per Facebook
Smishing, i consigli per non cadere nel tranello
Arrestato per recensioni online negative di un albergo
Windows 10, arriva l'installazione personalizzata
Il sito che installa tutte le app essenziali per Windows 10
Covid-19, casi sottostimati per colpa di Excel
Il furto automatico del PIN della carta di credito
Tutti gli Arretrati


web metrics