XcodeGhost: se non è un malware, non è un malware

La sicurezza dei propri sistemi operativi, o meglio, del proprio ecosistema, è sempre stata uno dei capi saldi della Apple, però ogni sistema informatico presenta delle falle, ed era dunque solo questione di tempo.

Non è la prima volta che un qualche Malware riesce ad introdursi in un dispositivo iOS, però in precedenza gli attacchi erano circoscritti ai dispositivi Jailbroken, procedura ovviamente non supportata da Apple e dunque non rappresentavano un reale problema per l’azienda; ma nell’ultima settimana qualcosa si è mosso.

Era lo scorso 17 settembre quando l’azienda di sicurezza informatica Palo Alto Networks informa tramite un Post sul loro Blog della falla presente in alcune applicazioni presenti nell’App Store.

Procediamo per gradi:

1. Come si è diffuso il Malware?
   Il Malware veniva inserito durante la compilazione tramite Xcode all’insaputa dello sviluppatore e non veniva notato dal sistema di revisione delle applicazioni di Apple.
2. Perché Xcode infettava le app?
   Ovviamente la versione usata di Xcode non era ufficiale, bensì era una versione che includeva delle librerie modificate create appositamente per lo scopo.
3. Xcode è un software disponibile gratuitamente nel Mac App Store, perché quindi scaricarlo da altri lidi?
   A quanto pare i server Apple cinesi sono piuttosto lenti vista la mole di traffico che devono gestire, quindi nel lontano oriente spesso si ricorre a servizi di Hosting che promettono velocità di Download maggiori.
4. Ma in pratica, cosa fa il Malware?
   Una volta scaricata l’applicazione infetta dall’AppStore vengono raccolte e inviate informazioni personali quali l’UUID, l’ora, il luogo, la lingua e la regione, inoltre è in grado di copiare ciò che avete negli appunti e potrebbe far apparire una falsa richiesta di accesso ad iTunes che invia Email e Password direttamente agli attaccanti.
5. Come ha risposto Apple?
   Le oltre 300 app infette sono state prontamente identificate ed eliminate, quindi per ora il problema sembra essere svanito, però sicuramente gli ingegneri della Apple devono mettersi al lavoro per rafforzare il sistema di verifica delle applicazioni.
6. Posso approfondire?
   Il codice infetto è stato caricato in maniera anonima su GitHub ed è liberamente consultabile, inoltre consiglio la lettura dell’articolo originale e dei relativi aggiornamenti [1], [2], [3].