Masque Attack para iOS: es posible que estemos usando apps modificadas sin saberlo

0

Masque attack

Completamos una semana no muy agradable para Apple, con novedades en cuanto a riesgos de seguridad se refiere. Hace dos días hablábamos de Wirelurker (una amenaza más pasada que presente) pero ahora tenemos algo incluso peor entre manos.

En Julio de este año, el observatorio FireEye descubrió algo alarmante: una app instalada mediante un sistema de provisionamiento ad-hoc o empresarial era capaz de reemplazar otra app original instalada a través de la App Store, debido a que ambas apps usarían el mismo número de “paquete”.

Una App de este tipo mostraría sin problemas un título personalizado (como “nuevo Flappy Bird”) que incitaría al usuario a instalar la app para comprobar las novedades. Sin embargo, esta app nueva reemplazaría a la original tras la instalación.

Todas las apps pueden ser reemplazadas excepto las que vienen pre-instaladas con iOS, como el navegador Safari.

Esta vulnerabilidad existe porque iOS no obliga a cotejar los certificados de seguridad de las apps con el identificador de paquete. Se ha comprobado la existencia de este Masque Attack en:

  • iOS 7.1.1/7.1.2
  • iOS 8.0
  • iOS 8.1/8.1.1 beta
  • Versiones tanto con, como sin Jailbreak.

Un atacante podría sacar partido a esta vulnerabilidad de dos formas: a través de una red Wifi o mediante USB. Masque Attack muestra su funcionamiento en el siguiente vídeo:

¿Cómo funciona Masque Attack para iOS?

Masque Attack > Wirelurker

Esta vulnerabilidad fué notificada por FireEye a Apple el pasado 26 de Julio. Hace escasos días, Claus Xiao descubrió la ya conocida amenaza Wirelurker, existente en cientos de apps de tiendas de China. Comparando ambas amenazas, podemos establecer un nexo claro entre ellas, pues Wirelurker emplea el principio de Masque Attack para realizar intrusiones mediante conexión USB y así modificar apps legítimas, convirtiéndolas en algo distinto.

Sin embargo, Wirelurker es más primitivo (por tanto menos peligroso) que Masque Attack, ya que este último es capaz de reemplazar apps auténticas, como aquellas que podríamos usar para enviar o recibir correo, navegar en la web del banco y otas actividades online. Esto entraña un altísimo riesdo de robo de información. Además, este malware es incluso capaz de acceder a la ubicación local de información de la app original, a pesar de haberla desinstalado por sí mismo.

En esas ubicaciones de datos locales se podrían haber almacenado datos de navegación en caché, tokens de acceso a plataformas, etc.

Aún se están investigando muchos de estos incidentes y no está claro el alcance real de la amenaza, pues hay apps que podrían ser vulnerables sin saberlo sus creadores. 

Características de Masque Attack

Este malware permite a un atacante engañar a una víctima, haciendo que esta piense que una app es legítima, modificando su nombre para ello (“Nuevo Angry Birds” sería un ejemplo) y engañar a su vez al sistema iOS para que este piense que es original. Veamos las consecuencias:

  • Los atacantes podrían imitar la interfaz de inicio de sesión de la víctima. Esto ha ocurrido ya y existen cientos de emails y apps bancarias que confirman estos secuestros de inicio de sesión.
  • Los datos de la ubicación original de la app, como las cachés de datos locales, permanecen en el directorio del malware, incluso después de haber desaparecido la app original. Sin duda, los creadores de Masque Attack saben lo que hacen.
  • Las interfaces MDM (Mobile Device Management) no es capaz de distinguir la app original del malware, ya que ambas emplean el mismo identificador de paquete. Actualmente no existe método alguno para conseguir información del certificado de cada app, una tarea pendiente para Apple.
  • Algunas apps distribuídas mediante plataformas empresariales (denominadas “EnPublic Apps” por algunos) no están sujetas al escrutinio de Apple, por lo que el atacante podría aprovechar la API privada para lanzar ataques potentes (como monitorización en segundo plano) e imitar la interfaz de usuario de iCloud para robar el Apple ID y contraseña.
  • Este Masque Attack también serviría para sobrepasar la función “Sandbox” de seguridad que utilizan las apps. Después obtendría privilegios root, explotando alguna de las vulnerabilidades presentes que lo permitan.

Ejemplo de ataque realizado

En la siguiente imagen se puede apreciar una consecución de acciones representadas por diferentes capturas de pantalla, que demuestran como se pasa de un sistema seguro a uno comprometido rápidamente. En el experimento se ha usado una app con identificador de paquete “com.google.Gmail“, reemplazada con el nombre “New Flappy Bird“. Después se firmó la app con un certificado y se  instaló dicha app mediante un sitio web. El resultado es que el buzón de correo de gmail quedó reemplazado por uno manipulado perteneciente a una nueva app en el teléfono.

Ejemplo de un Masque Attack

Es imposible apreciar diferencia alguna, salvo si leemos “yes, you are Pwned” en la última captura.

Debemos evitar a toda costa hacer click en este tipo de invitaciones para instalar apps

Masque Attack opera directamente sobre redes no cableadas, sin necesitar para nada una conexión directa entre un equipo de escritorio y smartphone iOS.

Mitigación de los riesgos

  1. No instalar apps desde fuentes no confiables, entendiendo que son aquellas que no provee la Apple Store.
  2. No aceptar instalaciones de apps que procedan de un “pop-up” o ventana emergente que aparezca sin motivo aparente, como se puede ver en la imagen anterior. Suelen ser mensajes bien cuidados y podrían engañarnos, pero nunca serán útiles sino perjudiciales en todos los casos.
  3. A la hora de abrir una app, si iOS muestra un mensaje como el que aparece debajo: “Desarrollador no confiable“, no utilicéis dicha app y desinstaladla inmediatamente.
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR