O iOS é amplamente considerado como um dos sistemas operacionais móveis mais seguros. Ele foi projetado desde o início para ser seguro e, consequentemente, evitou muitas das ameaças à segurança que afetaram o Android.
As poucas ameaças existentes para a plataforma Smartphone Security: iPhones Get Malware? Segurança do smartphone: iPhones podem obter malware? O malware que afeta "milhares" de iPhones pode roubar as credenciais da App Store, mas a maioria dos usuários do iOS é perfeitamente segura - então, qual é o problema com o software invasor e com o iOS? Leia mais tendem a centrar-se em dispositivos desbloqueados 4 Razões de segurança convincentes para não desbloquear o seu iPhone ou iPad 4 Razões de segurança convincentes para não desbloquear o seu iPhone ou iPad O jailbreak pode eliminar as muitas restrições da Apple, mas antes de desbloquear o dispositivo é uma boa ideia para ponderar os benefícios e possíveis desvantagens. Leia mais ou aqueles que foram comprometidos ou explorem certificados corporativos roubados.
Mas AceDeceiver é diferente. Foi descoberto pela Palo Alto Networks no início desta semana e é capaz de infectar iPhones configurados de fábrica sem que o usuário perceba, explorando falhas fundamentais no sistema FairPlay DRM da Apple.
De pirataria a malware
O modo como o AceDeceiver é distribuído é baseado em algo chamado “FairPlay Man-In-the-Middle”, que é uma tática comum que vem sendo usada desde 2013 para instalar aplicativos pirateados em iPhones e iPads não jailbroken.
Quando um indivíduo compra um aplicativo do iPhone de um computador, o aplicativo pode ser enviado imediatamente para esse telefone. Mas entre a compra sendo feita e o aplicativo sendo entregue, há um monte de comunicação acontecendo entre os dispositivos e os servidores da Apple.
Em particular, a Apple enviará um código de autorização para o dispositivo iOS, que basicamente afirma ao dispositivo cliente que o aplicativo foi legitimamente comprado. Se alguém capturar um desses códigos de autorização e for capaz de imitar como os servidores da Apple interagem com dispositivos iOS, eles poderão enviar aplicativos para esse dispositivo.
Esses aplicativos podem ser aplicativos que não foram permitidos pela Apple para aparecer na App Store 8 Diretrizes da Apple App Store ridículas e inconsistentes [Opinião] 8 Diretrizes Ridiculous & Inconsistent App Store da Apple [Opinião] Aqui está uma opinião radical - você deve ser capaz para executar qualquer aplicativo que você goste nos dispositivos que você possui. A Apple não concorda, e se transformou em pretzels criando regras arbitrárias para quais aplicativos ... Read More, ou podem ser aplicativos pirateados.
Neste caso, os aplicativos que estão sendo distribuídos por este romance girando no “Fairplay Man-In-The-Middle” são aplicativos de malware.
Conheça o Aisi Helper
Para este ataque, o FairPlay Man-In-The-Middle O que é um ataque Man-in-the-Middle? Jargão de Segurança Explicado O Que É um Ataque Man-in-the-Middle? Jargão de Segurança Explicado Se você já ouviu falar de ataques "man-in-the-middle", mas não tem certeza do que isso significa, este é o artigo para você. Leia mais O ataque é realizado pelo Aisi Helper, que é um aplicativo de software do Windows, que se acredita ter sido desenvolvido em Shenzhen, na China.
Pelo valor nominal, ele pretende ser um produto de gerenciamento iDevice de terceiros legítimo. Tem muito do aparato de programas legítimos. Ele permite que os usuários realizem o jailbreak e os dispositivos de backup na rede local e reinstalem o iOS, se necessário. É essencialmente o iTunes, embora sem o tocador de música, e voltado diretamente para o mercado chinês.
De acordo com a ITJuzi, que faz o perfil de startups no mercado chinês, foi lançada em 2014. Naquela época, não continha comportamentos maliciosos. Desde então, ele foi extensivamente modificado para usar a estratégia mencionada anteriormente, a fim de distribuir malware para qualquer dispositivo conectado.
Quando o Aisi Helper detecta um dispositivo conectado, ele automaticamente, sem o consentimento do usuário, começa a instalar o Trojan AppDeciever. A única dica de que isso está acontecendo é que um aplicativo misterioso e indesejado terá aparecido na lista de aplicativos do usuário.
O Malware AceDeceiver
No momento da escrita, houve três desses Trojans. Cada um deles, até agora, inicialmente foi mascarado como aplicativos de papel de parede. Cada uma delas foi disponibilizada na App Store, depois de passar nas verificações de código-fonte notoriamente estritas da Apple, onde é revisada no momento do envio e em cada atualização subseqüente. Isso, em teoria, deveria ter impedido que eles aparecessem na App Store.
A Palo Alto Networks acredita que os desenvolvedores conseguiram contornar essas verificações enviando-as para fora da China e, inicialmente, disponibilizando-as para apenas alguns mercados, como o Reino Unido e a Nova Zelândia.
Essa variante específica do malware AceDeciever permanece inativa a menos que o dispositivo tenha um endereço IP na República Popular da China. É claro, devido a isso, e ao meio de entrega, que é destinado a usuários chineses. Embora também possa impactar qualquer pessoa usando uma VPN chinesa ou alguém viajando pela China.
Quando o malware detecta que o dispositivo está na China, ele se transformará apenas em um aplicativo para fazer o download e mudar de wallpwapers, para um que se disfarça como vários serviços da Apple, como a App Store e o Game Center.
O objetivo disso é, previsivelmente, colher as credenciais da Apple. Isso permitiria que o atacante comprasse aplicativos e e-books que eles colocaram na App Store e, por sua vez, gerasse bons lucros. No entanto, o AppDeciever não pode simplesmente "acessar" essas credenciais, pois elas são armazenadas com segurança em um contêiner criptografado.
Então, ele usa táticas de engenharia social. O que é engenharia social? [MakeUseOf explica] O que é engenharia social? [MakeUseOf Explains] Você pode instalar o firewall mais forte e caro do mercado. Você pode instruir os funcionários sobre os procedimentos básicos de segurança e a importância de escolher senhas fortes. Você pode até mesmo bloquear a sala do servidor - mas como ... Leia mais em vez disso. AceDeceiver exibirá pop-ups que parecem ter vindo da Apple, pedindo ao usuário para confirmar suas credenciais. Quando o usuário está em conformidade, ele é enviado pela rede para um servidor remoto.
Esses aplicativos já foram removidos da loja. Apesar disso, eles ainda podem ser instalados por um atacante, explorando o ataque FairPlay Man-In-The-Middle.
Você deveria estar preocupado?
Então, vamos direto ao assunto. Você tem motivos para se preocupar com isso? Bem, sim e não.
Agora, a principal manifestação disso está centrada na China. Tem como alvo os iPhones chineses, está inativo fora da China e usa táticas de engenharia social cuidadosamente elaboradas para serem bem-sucedidas contra os usuários chineses.
Mas apesar disso, há motivo para preocupação. Afinal, é baseado em uma tática usada desde 2013 para instalar software pirateado. Três anos depois, esse buraco ainda está para ser fechado e ainda é explorável .
O fato de ter sido publicado com sucesso na App Store três vezes também levanta sérias dúvidas sobre a capacidade da Apple de mantê-lo livre de malware.
Além disso, como apontado pela Palo Alto Labs, seria trivial refazer esse malware para segmentar usuários nos EUA ou na Europa.
Neste momento, não há muito que possa ser feito para combatê-lo. A Palo Alto Networks recomenda que qualquer pessoa que tenha instalado o Aisi Helper o desinstale imediatamente. Eles também dizem que as vítimas devem ativar a autenticação de dois fatores, bem como alterar suas senhas.
Eles também lançaram duas assinaturas IPS (Intrusion Prevention System) para empresas que usam seus dispositivos de firewall para bloquear o ataque. Infelizmente, estes não estão disponíveis para os consumidores.
Acima de você
Você foi afetado pelo Malware AceDeceiver? Conhece alguém que foi? Conte-me sobre isso nos comentários abaixo.