AceDeceiver è il nome del nuovo trojan che si sta diffondendo rapidamente su iPhone ed iPad: questo virus, creato molto probabilmente in Cina, è particolarmente pericoloso in quanto è in grado di installarsi su un generico dispositivo iOS senza che questo sia stato oggetto di jailbreak o installazione volontaria di certificati enterprise che permettono di scavalcare le protezioni offerte dal sistema operativo. Trattandosi di un trojan, una volta entrato nei tablet e smartphone Apple, tutti i file presenti nella memoria di massa sono compromessi e i creatori di questo malevole programma hanno il pieno controllo del dispositivo.



AceDeceiver può violare qualsiasi dispositivo avente iOS

Abbiamo parlato della Cina in quanto, al momento, la diffusione di AceDeceiver è confinata a questo paese: ciò non significa, però, che gli utenti occidentali possano dormire sogni tranquilli visto che iPhone ed iPad funzionano nell’identico modo e hanno il medesimo software a prescindere dalla provenienza geografica degli utenti.

Come funziona AceDeceiver

Schema di funzionamento della falla nel DRM usata da AceDeceiver

AceDeceiver è stato scoperto da Palo Alto Networks, azienda americana specializzata in reti e sicurezza informatica, e sfrutta una vulnerabilità nel meccanismo di protezione DRM di Apple, nota come FairPlay. E’ pressoché un attacco man-in-the-middle e grazie al raggiro del controllo del codice di autorizzazione utilizzato dai dispositivi iOS su iTunes permette l’installazione di software generico, benigno e non, contro la volontà dell’utente. Vi alleghiamo qui sotto una breve spiegazione tecnica, in inglese, di AceDeceiver per coloro che ne volessero sapere di più:

AceDeceiver is the first iOS malware we’ve seen that abuses certain design flaws in Apple’s DRM protection mechanism — namely FairPlay — to install malicious apps on iOS devices regardless of whether they are jailbroken. This technique is called “FairPlay Man-In-The-Middle (MITM)” and has been used since 2013 to spread pirated iOS apps, but this is the first time we’ve seen it used to spread malware. (The FairPlay MITM attack technique was also presented at the USENIX Security Symposium in 2014; however, attacks using this technique are still occurring successfully.)

Apple allows users purchase and download iOS apps from their App Store through the iTunes client running in their computer. They then can use the computers to install the apps onto their iOS devices. iOS devices will request an authorization code for each app installed to prove the app was actually purchased. In the FairPlay MITM attack, attackers purchase an app from App Store then intercept and save the authorization code. They then developed PC software that simulates the iTunes client behaviors, and tricks iOS devices to believe the app was purchased by victim. Therefore, the user can install apps they never actually paid for, and the creator of the software can install potentially malicious apps without the user’s knowledge.

Nel periodo compreso tra Luglio 2015 e Febbraio 2016 tre app, aventi come scopo “ufficiale” quello di installare wallpaper, erano riuscite a superare i controlli di Apple e a sbarcare sullo Store: essendo riconosciute a tutti gli effetti come app sicure, queste app malevoli potevano essere installate su iPad e iPhone senza che il sistema operativo intervenisse per restringere l’accesso alle informazioni presenti.

Resasi conta del problema, Apple è corsa immediatamente ai ripari e ha rimosso le app in questione dall’App Store: al momento, però, non è stato in alcun modo rilasciato un aggiornamento per risolvere il bug presente nel sistema DRM adottato dall’azienda di Cupertino, rendendo tutti i dispositivi iOS potenzialmente a rischio di infezione provocata da AceDeceiver e altri malware che sfruttano questa vulnerabilità.

L’infezione ad opera di AceDeceiver ha inizio su PC Windows (Mac OS X non è al momento esposto), con l’installazione di Aisi Helper, un programma che si offre come aiutante nel jailbreak, nella pulizia e nel ripristino e backup del dispositivo Apple in vostro possesso.

Una volta installato, Aisi Helper si connette a uno store di terze parti e permette ai gestori di utilizzare il codice DRM di autorizzazione ottenuto dall’App Store ufficiale per installare malware e altre app dannose sull’iPad o iPhone in oggetto non appena il dispositivo si connette tramite USB al PC Windows.

La prima app ad essere installata è fondamentale per espugnare completamente l’identità digitale dell’utente in questione: non appena verrà aggiunta al dispositivo, vi comparirà una schermata popup nella quale verrà chiesto all’utente di inserire le credenziali del proprio Apple ID, “necessarie” per carpire ancora più dati dalla vittima.

Il profilo degli utenti a rischio

Come detto in precedenza, sebbene le app malevoli siano state rimosse dallo Store, la vulnerabilità è ancora presente e pienamente utilizzabile. Nel caso di AceDeceiver, tutti gli utenti nell’area cinese che hanno installato Aisi Helper sui propri PC sono a rischio infezione.

Sebbene sia un problema attualmente confinato a una nazione lontana migliaia di chilometri dalla nostra, è bene ricordare che con un semplice cambiamento, anche solamente nel nome e nella lingua di utilizzo, del software vettore (Aisi Helper) è possibile infettare milioni di device iOS presenti in Europa e non solo.

Come proteggersi

Per proteggersi da AceDeceiver, per nostra fortuna, possiamo intraprendere numerosi azioni, dalla bassa difficoltà, che ci permetteranno di stare tranquilli.

Innanzitutto, gli utenti Windows devono prestare maggiore attenzione a ciò che scaricano: affidatevi unicamente a canali sicuri per il download dei vari programmi e in caso sia presente Aisi Helper sul vostro PC eliminatelo immediatamente in modo da evitare l’installazione di AceDeceiver .

Se mentre utilizzate il vostro dispositivo iOS vi compare una schermata richiedente il vostro Apple ID assicuratevi che la richiesta provenga unicamente da un app Apple: le app di terze parti, per via delle restrizioni dell’App Store, non dovrebbero chiedervi i vostri dati quindi, in caso contrario, rimuovete immediatamente l’app che vi ha fatto la richiesta.

Concludiamo questo articolo allegandovi un ulteriore serie di consigli rilasciati da Palo Alto Networks per evitare di esporre il vostro dispositivo ad AceDeceiver e altri virus che verranno sviluppati per i prodotti iOS:

  • Assicurarsi che non ci siano cambiamenti improvvisi nelle app presenti sul dispositivo;
  • Assicurarsi che non siano installati certificati enterprise dalla dubbia validità: aisi.aisiring, aswallpaper.mito e i4.picture sono sicuramente (anche con leggere variazioni nel nome) certificati maligni relativi a questo trojan;
  • Cambiare la password del vostro Apple ID, seguendo le best-practice (almeno 8 caratteri alfanumerici con all’interno caratteri speciali scelti senza un senso logico, per evitare di essere oggetti ad attacchi a dizionario);
  • Abilitare l’autenticazione a due fattori per quanto riguarda il vostro Apple ID;