Ataque Máscara para que una aplicación maliciosa reemplace a otra aplicación genuina.
Para los investigadores de seguridad de FireEye el malware “WireLurker” utiliza una forma limitada de una técnica de ataque que han denominado “Ataques Máscara” dirigido a dispositivos iOS vía redes inalámbricas y conexiones USB, y que puede ser una amenaza mayor que WireLurker.
Mediante los “Ataques Máscara” una aplicación maliciosa para iOS instalada utilizando el provisionamiento empresa/ad-hoc podría reemplazar a otra aplicación instalada a través de la App Store de Apple, siempre y cuando ambas aplicaciones hayan usado el mismo identificador de paquete. Todas las aplicaciones pueden ser reemplazadas excepto las aplicaciones preinstaladas iOS, como Mobile Safari.
Mediante técnicas de ingeniería social el usuario es persuadido para que instale la aplicación maliciosa, cuyo enlace es incluido en mensajes de texto, correos electrónicos y páginas web maliciosas. La aplicación maliciosa puede ser utilizada para sustituir aplicaciones genuinas y confiables instaladas a través de la App Store, incluidos programas de correos electrónicos y bancarios. Por ejemplo, un atacante podría robar las credenciales bancarias del usuario al reemplazar una aplicación bancaria auténtica con un malware que tenga la interfaz de usuario idéntica.
El malware puede acceder a los datos locales de la aplicación original, toda vez que no fue eliminada cuando fue reemplazada. Estos datos pueden contener mensajes de correo electrónico almacenados en caché, o incluso tokens de inicio de sesión que el malware puede utilizar para iniciar sesión en la cuenta del usuario directamente.
Las versiones vulnerables de iOS son 7.1.1, 7.1.2, 8.0, 8.1 y 8.1.1 beta, en dispositivos con y sin jailbreak. La vulnerabilidad existe debido porque iOS no hace cumplir los certificados coincidentes para las aplicaciones con el mismo identificador de paquete.
Recomendaciones:
- No instalar aplicaciones de fuentes ajenas a la App Store o la propia organización del usuario.
- No hacer click en el botón “Instalar” en ventanas pop-up de una página web de terceros.
- Hacer click en “No Confiar” si al abrir una aplicación ésta le muestra una alerta “Desarrollador No Confiable de App”. Desinstale la aplicación inmediatamente.
Compruebe si tiene aplicaciones instaladas por Ataques Máscara en “Ajustes -> General -> Perfiles”. En caso de identificar algún perfil no autorizado o sospechoso entonces borrarlo. Tome en cuenta que eliminar un perfil de provisionamiento impedirá que se ejecuten las aplicaciones empresariales firmadas para ese perfil. Pida asistencia de su área de seguridad.
Según FireEye el Ataque Máscara no puede ser evitado por la protección estándar de iOS, por lo que ha pedido a Apple que proporcione a los vendedores de seguridad interfaces más potentes para proteger a los usuarios corporativos contra el Ataque Máscara y otros ataques avanzados.