Airdrop è una porta aperta per il malware, come risolvere
L’iPhone a rischio malware. Mark Dowd, un ricercatore australiano, ha scoperto una brutta falla di sicurezza in iOS e MacOS che permette agli hacker di usare AirDrop per installare malware senza il consenso dell’utente.
Azimuth Security è una società di sicurezza australiana nella quale lavora Mark Dowd, il ricercatore che ha scoperto un serio problema di sicurezza in AirDrop, il servizio di condivisione file di Apple.
A causa di una vulnerabilità nel sistema di gestione dei file in ingresso, un criminale informatico può inviare un file contenente malware che verrà installato anche se il possessore del dispositivo bersaglio sceglie di rifiutarlo.
Il problema colpisce tutte le versioni di iOS dalla 7 in poi (9 esclusa, ma con il beneficio del dubbio) e MacOS da Yosemite in poi (solo El Capitan è stato patchato) e le attuali difese contro i possibili attacchi consistono solo nell’aggiornare i sistemi operativi o disabilitare AirDrop (funzione che è disattivata di default, ma che essendo comoda viene usata da molti).
L’attacco consiste nell’effettuare un “attraversamento di directory” fino a giungere a un file di sistema e modificarlo in modo da far accettare automaticamente ai due sistemi operativi i file in entrata che risultano firmati con un Certificato Aziendale Apple.
Questi certificati vengono usati per installare app fatte su misura (e non presenti sullo store) e sembrano rappresentare un anello debole nella catena di sicurezza dei sistemi Apple.
Molti degli exploit gravi che abbiamo visto finora li sfruttano per bypassare i controlli e arrivare al cuore del SO, ma non c’è da sorprendersi: ogni grado di flessibilità che si aggiunge, è un possibile vettore in più per gli attacchi.
In questo caso specifico, l’attacco trasversale portato a termine forza l’installazione di un file di profilo per l’app malevola, per poi ingannare Springboard (il modulo di iOS che gestisce la schermata home) a credere che l’app malevola sia già stata approvata dall’utente anche se questo non è vero e, infine, copia il codice nella directory delle app non di sistema.
Quando tutto è pronto, l’attacco devia Spingboard a credere che il malware sia, in realtà, la nuova app che gestisce le telefonate e quindi verrà automaticamente lanciata al successivo riavvio del telefono (su MacOS si attacca un altro componente di sistema che sortisce lo stesso effetto).
Le sandbox dei due sistemi, a parte l’attacco iniziale, restano comunque integre e funzionanti, quindi l’app può accedere “solo” ai dati per cui è possibile ottenere una autorizzazione (dai contatti, ai messaggi di posta, passando per posizione gps, microfono, telecamera e così via), ma Mark Dowd non esclude che, a causa della fragilità della prima parte della gestione, si possa scrivere anche del codice che arrivi a livello di kernel e sfrutti qualche vulnerabilità per ottenere l’accesso a tutto il telefono (come si fa quando si effettua un jailbreak).
Come dicevamo, i sistemi per difendersi sono solo 2: aggiornare il sistema e spegnere Airdrop. Tuttavia, potrebbe non bastare. Nell’aggiornamento, infatti, il bug non è stato davvero risolto, ma i programmatori di Apple ci hanno messo una “pezza”, circoscrivendolo in una ulteriore sandbox che è stata aggiunta evidentemente abbastanza in fretta.
Inoltre, il ricercatore teme che la stessa tecnica usata da lui con Airdrop possa essere applicata ad altre app, che non sarebbero non coperte dalla sandbox “riparatrice”, e aprire nuovamente la porta ad altri attacchi. (fonte)
