A Apple modificou o sistema operacional usado no iPhone - o iOS - para dificultar o uso dos chamados "certificativos empresariais" para disseminar pragas digitais para o celular e tablets iPad. Os criminosos, porém, se adaptaram e adotaram uma técnica conhecida desde 2013 e que era até agora usada apenas para instalar apps piratas.
Pesquisadores da Unidade 42 da empresa de segurança Palo Alto Networks descobriram o código e o batizaram de "AceDeceiver". O aplicativo é instalado no iPhone por USB a partir de outro programa malicioso para Windows, o "Aisi Helper". O "Aisi Helper" é oferecido como um software para realizar manutenção e outras tarefas em dispositivos iOS, como reinstalação do sistema, desbloqueio (jailbreak), backup e outras.
Na prática, porém, o Aisi Helper instala apps indesejados no iPhone usando uma técnica associada ao sistema FairPlay da Apple. O FairPlay foi criado para impedir o uso de músicas piratas (e depois de apps piratas) do iTunes e obtém dos servidores da Apple um código de autorização para permitir a instalação de um app pago no aparelho. O Aisi Helper intercepta essa operação para autorizar a instalação do aplicativo malicioso, burlando a restrição da loja da Apple.
Para funcionar, a técnica exige que o app malicioso tenha estado ao menos uma vez no iTunes App Store, a loja oficial de aplicativos da Apple. Segundo a Palo Alto Networks, os golpistas conseguiram enganar o sistema de revisão da Apple sete vezes entre julho de 2015 e fevereiro de 2016. Como o AceDeceiver chegou a ser cadastrado na loja, o ataque foi viabilizado: os apps não estão mais na loja, mas, segundo a Palo Alto, isso não impede que o ataque continue funcionando.
Como muitos outros ataques contra o iPhone, o AceDeceiver foi disseminado apenas na China. O código verifica a localização geográfica do usuário e nem sequer ativa suas rotinas maliciosas se o aparelho não estiver na China, tornando-se apenas um aplicativo de papel de parede. Esse truque pode ter ajudado o app a passar pelo processo de revisão da Apple, mas os golpistas também tiveram o cuidado de enviar o app apenas para lojas regionais fora da China, onde qualquer pessoa que baixasse o app não seria exposta ao comportamento malicioso.
O principal objetivo do AceDeceiver é roubar contas da Apple (Apple ID). A recomendação, para quem instalou o Aisi Helper no computador, é imediatamente desinstalar o programa e qualquer app que tenha aparecido no iPhone e trocar as senhas ligadas a serviços da Apple.
Essa vulnerabilidade no FairPlay é de 2013 e até o momento não há uma solução para o problema por parte da Apple. Segundo os especialistas da Palo Alto, é possível que alguns aparelhos mais antigos não sejam compatíveis com uma mudança que corrija esse problema.
'Novo' método requer conexão USB
Como o iPhone não permite a instalação de programas fora da iTunes App Store, criminosos recorriam aos chamados "certificados empresariais" para disseminar aplicativos maliciosos. Esses certificados eram destinados a empresas que queriam distribuir programas personalizados para dispositivos iOS usados no ambiente corporativo.
Como o iPhone não permite a instalação de programas fora da iTunes App Store, criminosos recorriam aos chamados "certificados empresariais" para disseminar aplicativos maliciosos. Esses certificados eram destinados a empresas que queriam distribuir programas personalizados para dispositivos iOS usados no ambiente corporativo.
Uma vez identificado o uso indevido do certificado, a Apple podia revogá-lo. Mesmo assim, a fabricante do iPhone decidiu aumentar as restrições no iOS 9, tornando o uso de certificados corporativos mais complicado: antes, bastava aceitar a instalação do app; agora é preciso ir até as configurações do aparelho e ativar uma opção para confiar no certificado.
O "novo" método, que abusa do sistema FairPlay, já era utilizado para a instalação de programas piratas. A diferença é que o iPhone precisa ser conectado a um computador com um programa que instale o app via USB. No caso dos certificados empresariais, bastava que uma página web fosse acessada no próprio iPhone.
Segundo a Palo Alto Networks, o Aisi Helper tinha 6,6 milhões de usuários ativos em dezembro de 2014. Na época, o programa ainda não apresentava comportamento malicioso. Não há estimativa mais recente.
Nenhum comentário:
Postar um comentário