FireEye, que ha denominado a esta técnica de ataque como “Masque Attack” (Ataque Enmascarado) ha identificado esta vulnerabilidad en iOS 7.1.1, 7.1.2, 8.0, 8.1 y 8.1.1 beta, y en dispositivos con o sin jailbreak. El Ataque Enmascarado puede plantear amenazas mucho más grandes que WireLurker, siendo capaz de reemplazar aplicaciones auténticas, como apps de banca y correo electrónico
Madrid, 11 de noviembre de 2014.-. FireEye, Inc., líder en la detención de amenazas de próxima generación, y distribuido en el mercado ibérico por Exclusive Networks, se ha hecho eco de un fallo de seguridad, descubierto por la propia empresa, en dispositivos Apple con algunas versiones de iOS 7 y 8.
FireEye, que ha denominado a esta técnica de ataque como “Masque Attack” (Ataque Enmascarado) ha identificado esta vulnerabilidad en iOS 7.1.1, 7.1.2, 8.0, 8.1 y 8.1.1 beta, y en dispositivos con o sin jailbreak. Un atacante puede aprovechar esta vulnerabilidad a través de redes inalámbricas y dispositivos USB.
FireEye notificó a Apple la existencia de esta vulnerabilidad el pasado 26 de julio. Previamente, los investigadores de seguridad móvil de FireEye descubrieron que una aplicación para iOS podía reemplazar a otra genuina -cuya instalación se hubiese realizado a través de la App Store- siempre y cuando ambas apps utilizasen el mismo identificador de paquete.
Dado que todas las aplicaciones se pueden reemplazar, excepto aquellas preinstaladas en iOS (por ejemplo Safari Mobile) esta aplicación se vale de un título seductor (como “New Flappy Bird”) para atraer al usuario y convencerle de su instalación. Esta vulnerabilidad es capaz de cumplir su objetivo debido a que iOS no obliga a cumplir con los certificados correspondientes a aplicaciones con el mismo identificador de paquete.
Según se destaca en el blog de FireEye: “Recientemente Claud Xiao reveló el malware ‘WireLurker’. Tras investigar internamente este malware, en FireEye descubrimos que WireLurker empezó a utilizar una forma limitada de Ataques Enmascarados para arremeter contra dispositivos iOS a través de USBs. El Ataque Enmascarado puede plantear amenazas mucho más grandes que WireLurker, siendo capaz de reemplazar aplicaciones auténticas, como apps de banca y correo electrónico, de cara a facilitar el robo de credenciales bancarias de los usuarios. De igual manera, el malware puede acceder incluso a los datos locales de la aplicación original (aquellos que no fueron eliminados cuando se sustituyó la original) los cuales pueden contener mensajes de correo electrónico almacenados en caché, o incluso tokens de acceso que el malware puede utilizar para iniciar sesión en la cuenta del usuario directamente”.
Impactos de seguridad
Entre las consecuencias que para la seguridad del usuario puede tener la instalación de una falsa aplicación de este tipo, FireEye señala:
- Los atacantes pueden imitar la interfaz de inicio de sesión de la aplicación original para robar credenciales de acceso de la víctima. En FireEye ya han confirmado este hecho a través de múltiples aplicaciones de correo electrónico y de banca, donde el malware utiliza una interfaz de usuario idéntica a la aplicación original para engañar al usuario y lograr que este introduzca sus credenciales de inicio de sesión, cargándolas hasta un servidor remoto.
- FireEye también encontró que los datos en el directorio de la aplicación original, como cachés locales de datos, se mantuvieron en el directorio local del malware después de que la aplicación original fuese reemplazada. El malware puede robar estos datos sensibles. Desde la compañía han confirmado este ataque a través de aplicaciones de correo electrónico en las el que el malware puede robar cachés locales de importantes correos electrónicos y subirlos a un servidor remoto.
- La interfaz de MDM no es capaz de distinguir el malware desde la aplicación original, ya que utilizan el mismo identificador de paquete. Actualmente no hay ninguna API MDM para obtener la información del certificado para cada aplicación. Por lo tanto, es difícil para MDM detectar tales ataques.
- Tal y como mencionó FireEye en su informe Virus Bulletin 2014 “Apple without a shell – iOS under targeted attack”, las aplicaciones distribuidas utilizando perfiles de aprovisionamiento empresarial (conocidos internamente como “EnPublic apps”) no están sometidos a procesos de revisión por parte de Apple. Por lo tanto, el atacante puede aprovechar APIs privadas para iOS para lanzar ataques de gran alcance, tales como monitorización de fondo (CVE-2014-1276) e imitaciones de interfaz de usuario de iCloud para robar el ID del usuario de Apple y la contraseña.
Los usuarios de iOS pueden protegerse de los Ataques Enmascarados siguiendo tres pasos:
- No instalar aplicaciones de terceros que no provengan de la Tienda Oficial de Aplicaciones de Apple o de la propia organización del usuario
- No pulsar el botón de “Instalar” en un ‘pop-up’ de una página web de terceros. El pop-up puede mostrar títulos de aplicaciones atractivas hechos a mano por el atacante
- Sí al abrir una aplicación iOS muestra una alerta del tipo “App no confiable”, se recomienda pulsar “No Confiar” y desinstalar la aplicación inmediatamente.
“Hemos visto pruebas de que este tema ha comenzado a circular. En esta situación, consideramos que es urgente que llegue al conocimiento público, ya que podría haber ataques existentes que no han sido encontrados por los proveedores de seguridad. También compartimos las medidas de mitigación para ayudar a los usuarios de iOS a protegerse mejor”, corroboran desde FireEye.
Acerca de FireEye
FireEye es líder en la lucha contra ataques selectivos avanzados que utilizan malware avanzado, exploits desconocidos (zero-day) y tácticas de amenazas persistentes avanzadas. Las soluciones de FireEye complementan los firewalls tradicionales y de próxima generación, las soluciones de prevención de intrusiones, los antivirus y las puertas de enlace, que son incapaces de detener las amenazas avanzadas, dejando vacíos de seguridad en las redes. FireEye ofrece la única solución del sector que detecta y bloquea ataques que llegan a través de la Web y el correo electrónico, así como el malware latente que se hospeda en los recursos compartidos. Actúa en todas las fases del ciclo de vida de un ataque con un motor que no emplea firmas y que utiliza análisis con información de estado para detectar las amenazas desconocidas. Con sede en Milpitas, California, FireEye cuenta con el respaldo de destacados socios financieros, como Sequoia Capital, Norwest Venture Partners y Juniper Networks.
La entrada FireEye detecta un importante fallo de seguridad en dispositivos Apple con distintas versiones de iOS aparece primero en Exclusive Networks Spain.
