Masque atack, nueva vulnerabilidad en dispositivos iOS

La firma FireEye ha anunciado una nueva vulnerabilidad en dispositivos iOS que podría permitir a un atacante reemplazar aplicaciones instaladas por cualquier otra aplicación maliciosa.

Como no podía ser de otra forma, siguiendo la moda de bautizar las nuevas vulnerabilidades, le han dado el nombre de "Masque atack". Excepto las aplicaciones iOS preinstaladas (como el navegador Safari), cualquier otra aplicación puede ser reemplazada. La vulnerabilidad se debe a que iOS no fuerza a que coincidan los certificados en aplicaciones con el mismo identificador de paquete. Esto quiere decir que basta un certificado falsificado para instalar una aplicación maliciosa, sobre cualquier otra ya instalada.

FireEye ha confirmado la vulnerabilidad en iOS 7.1.1, 7.1.2, 8.0, 8.1 y  8.1.1 beta, en dispositivos con o sin jailbreak. Un atacante podrá aprovechar esta vulnerabilidad a través de redes WiFi o USB.

Se ha publicado un vídeo de demostración de la vulnerabilidad:

https://www.youtube.com/watch?v=3VEQ-bJUhPw

FireEye notificó la vulnerabilidad a Apple el 26 de julio, y según confirman WireLurker, el malwarerecientemente descubierto, utiliza una forma limitada de esta vulnerabilidad para atacar a dispositivos iOS a través de USB. Pero el riesgo de estos ataques "enmascarados" es mucho mayor que el de WireLurker. A través de este ataque se pueden reemplazar aplicaciones legítimas como aplicaciones de banca electrónica o correo. De esta forma un atacante podrá robar credenciales bancarias mediante una aplicación bancaria que simule el interfaz de la aplicación legítima.

No confiar en desarrolladores desconocidos. Fuente: FireEye

La aplicación maliciosa podrá incluso acceder a los datos locales de la aplicación original, que pueden incluir correos, contraseñas, tokens de autenticación, o cualquier otra información confidencial.

Según FireEye existen pruebas de que este fallo ha comenzado a circular. Por lo que consideran urgente su conocimiento público, ya que podría haber ataques existentes aun no conocidos.

Como contramedidas se recomienda evitar instalar aplicaciones de fuentes distintas a la App Store, no pulsar "instalar" en un pop-up de alguna página web y si al abrir una aplicación iOS muestra una alerta con un mensaje "Untrusted App Developer" (Desarrollador de App desconocido) pulsar en "Don’t Trust" (no confiar) y desintalar la aplicación inmediatamente.

Más información:

Masque Attack: All Your iOS Apps Belong to Us

http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero