Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Minacce

Wirelurker e Rootpipe le nuove minacce per i sistemi Apple

apple  rootpipe  wirelurker   venerdì, 7 novembre 2014

WireLurker è il nome della nuova minaccia per smartphone e tablet. Si tratta di un nuovo malware in grado di aggirare le protezioni di iOS, e, per il momento, punta soprattutto al mercato cinese.

Palo Alto Networks, la società di sicurezza americana che ha scoperto il malware, sostiene che il bug viene trasmesso via USB, quando l’apparato viene collegato ad un sistema Mac OS X infetto: “WireLurker controlla costantamente su un computer Mac OS X le connessioni via USB con dispositivi iOS ed installa su queste applicazioni di terze parti precedentemente scaricate o applicazioni malevoli generate automaticamente”. E questo anche se sul terminale non è stato effettuato il jailbreak (ovvero la procedura che consente la distribuzione e l’installazione di pacchetti alternativi a quelli ufficiali dell’App Store).
Una volta che WireLurker ha infettato un dispositivo iOS, l’attaccante può avere accesso ai messaggi di testo, alla rubrica o gestire da remoto altri aspetti del dispositivo.

La causa della diffusione del malware è stata individuata in Maiyadi App Store, uno store virtuale cinese di terze parti disponibile come applicazione per Mac che consente l’installazione di app su dispositivi iOS, anche se non si è proceduto al “jailbreak” . Negli ultimi sei mesi sono state 467 le applicazioni per le quali si è dimostrata l’infezione dal virus, scaricate oltre 356 mila volte in Cina.

Anche se non sono ancora chiare le finalità dei creatori di WireLurker o se ci siano state effettivamente perdite di dati da parte degli utenti, quanto accaduto è la dimostrazione che è possibile aggirare le rigide protezioni che Apple ha costruito intorno ai dispositivi iOS. Apple, consapevole del problema, ha prontamente bloccato le app identificate, ribadendo il consiglio agli utenti di “scaricare ed installare software solamente da fonti affidabili”.

Rootpipe, invece, è una vulnerabilità di Mac OS X attiva anche su Yosemite, portata alla luce nei giorni scorsi, sulla quale Apple sta lavorando per fornire una patch. La vulnerabilità, che affligge i sistemi operativi Mac OS X dalla versione 10.8.5 a 10.10 – il recente Yosemite – è stata dimostrata dal ricercatore di sicurezza Emil Kvarnhammar di TrueSec che ha provveduto ad informare Apple del problema senza rivelare pubblicamente nessun dettaglio, al fine di dare modo agli esperti di risolvere il problema prima che la vulnerabilità possa essere sfruttata.

Rootpipe permette ad un software che opera sotto un account con i privilegi di amministratore di ottenere l’accesso root tramite il comando “sudo” senza che sia necessaria l’autenticazione, quando normalmente un amministratore può ottenere i privilegi di root tramite il comando sudo reinserendo la propria password. Questo meccanismo potrebbe invece consentire ad un malware di installarsi senza richiedere alcuna password.

Fino a quando la vulnerabilità non verrà risolta, gli utenti Mac possono cercare di evitare problemi utilizzando il sistema con un account che non abbia i privilegi di amministratore, consiglio valido in assoluto ed indipendente da questa particolare vulnerabilità. In questo modo, l’utente senza diritti di amministratore per eseguire determinate operazioni, come l’installazione di software, dovrà sempre autenticarsi e autorizzare l’operazione utilizzando la password di un amministratore.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Apple (22 luglio 2019)

23 luglio 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, tvOS, watchOS e Safari.Leggi tutto

Apple risolve vulnerabilità multiple in AirPort

3 giugno 2019

Apple ha rilasciato un aggiornamento di sicurezza per il firmware delle basi Wi-Fi AirPort che risolvere vulnerabilità che potrebbero provocare l’esecuzione di codice in modalità remota o causare condizioni di denial of service.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (13 maggio 2019)

14 maggio 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, tvOS, watchOS, Safari e Apple TV Software.Leggi tutto