Doing business in Spain? Interempresas Media is the key
Emagazines
Informática y Comunicaciones

fireEye detecta un importante fallo de seguridad en dispositivos Apple con distintas versiones de iOS

Comunicaciones Hoy13/11/2014

fireEye se ha hecho eco de un fallo de seguridad, descubierto por la propia empresa, en dispositivos Apple con algunas versiones de iOS 7 y 8. fireEye, que ha denominado a esta técnica de ataque como “Masque Attack" (Ataque Enmascarado) ha identificado esta vulnerabilidad en iOS 7.1.1, 7.1.2, 8.0, 8.1 y 8.1.1 beta, y en dispositivos con o sin jailbreak.

Un atacante puede aprovechar esta vulnerabilidad a través de redes inalámbricas y dispositivos USB. fireEye notificó a Apple la existencia de esta vulnerabilidad el pasado 26 de julio. Previamente, los investigadores de seguridad móvil de fireEye descubrieron que una aplicación para iOS podía reemplazar a otra genuina -cuya instalación se hubiese realizado a través de la App Store- siempre y cuando ambas apps utilizasen el mismo identificador de paquete.

Dado que todas las aplicaciones se pueden reemplazar, excepto aquellas preinstaladas en iOS (por ejemplo Safari Mobile) esta aplicación se vale de un título seductor (como "New Flappy Bird") para atraer al usuario y convencerle de su instalación. Esta vulnerabilidad es capaz de lograr su objetivo debido a que iOS no obliga a cumplir con los certificados correspondientes a aplicaciones con el mismo identificador de paquete.

Según se destaca en el blog de fireEye: "Recientemente Claud Xiao reveló el malware 'WireLurker'. Tras investigar internamente este malware, en fireEye descubrimos que WireLurker empezó a utilizar una forma limitada de Ataques Enmascarados para arremeter contra dispositivos iOS a través de USBs. El Ataque Enmascarado puede plantear amenazas mucho más grandes que WireLurker, siendo capaz de reemplazar aplicaciones auténticas, como apps de banca y correo electrónico, de cara a facilitar el robo de credenciales bancarias de los usuarios.

De igual manera, el malware puede acceder incluso a los datos locales de la aplicación original (aquellos que no fueron eliminados cuando se sustituyó la original) los cuales pueden contener mensajes de correo electrónico almacenados en caché, o incluso tokens de acceso que el malware puede utilizar para iniciar sesión en la cuenta del usuario directamente".

Impactos de seguridad

Entre las consecuencias que para la seguridad del usuario puede tener la instalación de una falsa aplicación de este tipo, fireEye señala:

• Los atacantes pueden imitar la interfaz de inicio de sesión de la aplicación original para robar credenciales de acceso de la víctima. En fireEye ya han confirmado este hecho a través de múltiples aplicaciones de correo electrónico y de banca, donde el malware utiliza una interfaz de usuario idéntica a la aplicación original para engañar al usuario y lograr que este introduzca sus credenciales de inicio de sesión, cargándolas hasta un servidor remoto.

• fireEye también encontró que los datos en el directorio de la aplicación original, como cachés locales de datos, se mantuvieron en el directorio local del malware después de que la aplicación original fuese reemplazada. El malware puede robar estos datos sensibles. Desde la compañía han confirmado este ataque a través de aplicaciones de correo electrónico en las el que el malware puede robar cachés locales de importantes correos electrónicos y subirlos a un servidor remoto.

• La interfaz de MDM no es capaz de distinguir el malware desde la aplicación original, ya que utilizan el mismo identificador de paquete. Actualmente no hay ninguna API MDM para obtener la información del certificado para cada aplicación. Por lo tanto, es difícil para MDM detectar tales ataques.

• Tal y como mencionó fireEye en su informe Virus Bulletin 2014 "Apple without a shell - iOS under targeted attack”, las aplicaciones distribuidas por medio de perfiles de aprovisionamiento empresarial (conocidos internamente como "EnPublic apps") no están sometidos a procesos de revisión por parte de Apple. Por lo tanto, el atacante puede aprovechar APIs privadas para iOS para lanzar ataques de gran alcance, tales como los de monitorización de fondo (CVE-2014-1276) e imitaciones de interfaz de usuario de iCloud para robar el ID del usuario de Apple y la contraseña.

Los usuarios de iOS pueden protegerse de los Ataques Enmascarados siguiendo tres pasos:

1. No instalando aplicaciones de terceros que no provengan de la Tienda Oficial de Aplicaciones de Apple o de la propia organización del usuario

2. No pulsando el botón de "Instalar" en un 'pop-up' de una página web de terceros. El pop-up puede mostrar títulos de aplicaciones atractivas hechos a mano por el atacante

3. Sí al abrir una aplicación iOS se muestra una alerta del tipo "App no confiable", se recomienda pulsar "No Confiar" y desinstalar la aplicación inmediatamente.

TOP PRODUCTS

ÚLTIMAS NOTICIAS

OPINIÓN

SERVICIOS