Grossi guai per Apple sul piano della sicurezza. A lanciare l’allarme sono stati gli analisti di FireEye, dopo che nei giorni scorsi il web era stato attraversato dalla notizia della comparsa di un malware che si è diffuso in Cina colpendo migliaia di utenti Apple. Secondo quanto riferisce la società di sicurezza californiana, il trojan (virus ndr) individuato in Cina sfrutta solo alcuni aspetti di una vulnerabilità scoperta la scorsa estate (e comunicata ad Apple a fine luglio) battezzata “Masque Attack”. Gli analisti di FireEye in un video hanno mostrato come un pirata informatico potrebbe sostituire una app originale ottenendo l’accesso anche ai relativi dati memorizzati sullo smartphone o sul tablet. Insomma: nel caso in cui venisse bersagliata una applicazione per l’home banking, il malware otterrebbe tutti i dati per accedere al conto corrente della vittima.

Affinché questo possa accadere, però, è necessario che il proprietario installi l’app da un sito web o da un mercato diverso dall’App Store ufficiale. Un’operazione, questa, vietata dalle condizioni d’uso di Apple e che normalmente è possibile soltanto se si è sbloccato il sistema attraverso il cosiddetto jailbreak. Già l’anno scorso, però, alcuni market cinesi hanno trovato il modo di forzare l’installazione anche sui dispositivi “integri”. Per farlo, hanno sfruttato il programma iOS Developer Enterprise di Apple, che consente alle aziende di sviluppare delle app proprietarie e installarle sui dispositivi dei loro dipendenti. La procedura prevede, per utilizzare delle app “fatte in casa”, il caricamento di un profilo particolare, abbinato a un certificato digitale per ogni app. I market cinesi hanno però sfruttato questo sistema per mettere sul mercato app pirata, che gli utenti possono scaricare senza eseguire il jailbreak sui loro dispositivi.

Il primo allarme riguardo l’utilizzo di questa tecnica per aprire la strada all’installazione di un malware su iOS risale solo a qualche giorno fa, quando Palo Alto Networks ha isolato e analizzato WireLurker. Il trojan era stato inserito in oltre 400 app per Mac OS X disponibili per il download sul Maiyadi App Store, un market “indipendente” cinese che mette a disposizione app per iOS e Mac OS X. Il trojan agisce in due passaggi: infetta prima il computer e, una volta che a questo viene collegato un dispositivo iOS via USB, è in grado di installare nuove app utilizzando il sistema dei profili per aggirare i sistemi di protezione.

Secondo quanto scoperto da FireEye, però, il collegamento via USB non è indispensabile e l’installazione può avvenire anche attraverso un semplice collegamento Internet. Di più: l’operazione potrebbe portare alla sostituzione di una qualsiasi app con una “copia” che contiene un malware. Le app per iOS, infatti, sono identificate da un nome (bundle identifier) che può essere diverso da quello che l’utente vede al momento dell’installazione. In pratica, il proprietario di un dispositivo iOS potrebbe essere indotto a scaricare quello che crede essere un videogioco, mentre in realtà sta installando una versione infetta di gmail o della sua app per la gestione dell’home banking. Secondo FireEye, la vulnerabilità non coinvolge le app predefinite di iOS, come mobile Safari. È bene tenere presente, però, che la procedura per l’installazione di app che fanno riferimento a un profilo aziendale hanno una procedura particolare, che prevede anche una serie di conferme da parte dell’utente. Insomma: chi sta scaricando una app “a rischio” ha tutti gli elementi per capire che c’è qualcosa di strano. Per il momento, i commenti di Apple si limitano a confermare la raccomandazione di installare app solo da fonti sicure.