Masque Attack para iOS: puede estar usando apps modificadas sin saberlo

La empresa Apple no a completado una semana muy agradable, en cuanto a la evolución de los riesgos de seguridad. Hace unos días hemos hablado de Wirelurker (más pasado que presente en cuanto ha amenaza), pero ahora tenemos algo aún peor.

En julio de este año, el observatorio FireEye descubrió algo increíble: una aplicación instalada a través de un sistema de aprovisionamiento ad-hoc o negocio fue capaz de sustituir por otra aplicación original instalado a través de la App Store, ya que ambas aplicaciones utilizan el mismo número de paquete.

Una versión de este tipo muestra un título personalizado sin problemas (como el "nuevo Flappy Bird"), lo que indicará al usuario que instale la aplicación para comprobar la noticia. Sin embargo, esta nueva aplicación reemplazara al original después de la instalación.

Todas las aplicaciones se pueden reemplazar, menos los que vienen pre-instalados con iOS como el navegador Safari.

Esta vulnerabilidad existe debido a que iOS no requiere certificados de seguridad. Se sabe que existe este Masque Attack en:

·          iOS 7.1.1 / 7.1.2

·    &nbs p;    iOS 8.0

·          iOS 8.1 / 8.1.1 beta

Un atacante puede explotar esta vulnerabilidad de dos maneras: a través de una red inalámbrica o vía USB.

Masque Attack> Wirelurker

Esta vulnerabilidad fue reportada por FireEye de Apple el 26 de julio pasado. A los pocos días, Claus Xiao descubrió Wirelurker (amenaza conocida), existente en cientos de tiendas de aplicaciones en China. Comparando estas dos amenazas, podemos establecer un vínculo claro entre ellos, como Wirelurker utiliza Masque Attack al principio del ataque para las invasiones a través de conexión USB y por lo tanto modificar las aplicaciones legítimas, transformándolos en otra cosa.

Sin embargo, Wirelurker es más primitivo (y por lo tanto menos peligroso) que Masque Attack, ya que el últimos es capaz de sustituir aplicaciones autenticas.