AceDeceiver, troià que apareix a la Xina i afecta dispositius sense jailbreak

Solem dir que els dispositius iOS són segurs i una de les principals raons que donem és que iOS és un sistema operatiu tancat. La majoria de problemes de seguretat que afecten un iPhone, iPod Touch o iPad afecten dispositius als quals els hem fet el Jailbreak perquè a el fer-ho hem obert una porta d'accés a aquest tipus de problemes. Però els que estan en contra de l'Jailbreak per seguretat han de saber que cap sistema és 100% eguro, com així ho ha demostrat un nou troià anomenat AceDeceiver que afecta usuaris de la Xina encara que no li hagin fet el Jailbreak al seu dispositiu.

El el malware ha estat descobert per Xarxes Palo Alto i està afectant a hores d'ara a usuaris residents a la Xina. AceDeceiver infecta dispositius iOS aprofitant fallades de FairPlay, El sistema DRM d'Apple. Segons Palo Alto Networks, el troià fa servir una tècnica anomenada «FairPlay Man-in-the-Middle» que s'ha usat en el rostit per poder instal·lar aplicacions pirates usant programari fals d'iTunes.

AceDeceiver s'aprofita de FairPlay

Apple permet als usuaris comprar i descarregar aplicacions de iOS de la seva App Store a través del client iTunes en un ordinador. Es poden usar els ordinadors per instal·lar aplicacions en els dispositius iOS. Els dispositius iOS demanaran un codi d'autorització per a cada aplicació instal·lada per comprovar que l'aplicació s'ha comprat de veritat. En l'atac MITM FairPlay, els atacants compren una aplicació de l'App Store, després intercepten i guarden el codi d'autorització.

Van desenvolupar un programari per a PC que simula el client resident iTunes i enganya els dispositius iOS perquè creguin que l'aplicació ha estat comprada per la víctima. En aquest moment, l'usuari pot instal·lar aplicacions per les que mai ha pagat i el creador de programari pot instal·lar aplicacions potencialment perilloses sense el coneixement de l'usuari.

Des de juliol de 2015 a febrer de 2016 es van pujar tres aplicacions a l'App Store que contenien el codi de AceDeceiver. Es van publicar com aplicacions de fons de pantalla, quan en realitat proporcionaven un codi d'autorització als atacants que podrien usar en els atacs de AceDeceiver.

Hi ha una aplicació per a Windows anomenada «Aisi Helper» que se suposa que ha d'oferir serveis com còpies de seguretat i neteja que ha estat instal·lada per usuaris de la Xina. Aquesta aplicació instal aplicacions malicioses en els dispositius que connecten a l'ordinador oferint un App Store de tercers amb contingut gratuït com a ganxo. El App Store de tercers demana als usuaris introdueixin el seu ID d'Apple i contrasenya i aquesta informació acaba en els servidors de AceDeceiver.

Una aplicació AceDeceiver que mostra un App Store no oficial

Apple va eliminar les aplicacions al febrer, però els atacs segueixen sent possibles perquè els atacants encara tenen el codi d'autorització. AceDeceiver només afecta usuaris residents a la Xina, però Palo Alto Networks creu que aquest troià o un altre el malware similar es pot estendre a altres països. El problema encara no ha rebut cap pegat de seguretat i podria estar present en versions de iOS més antigues que ja no reben suport, com pot ser el cas de l'iPhone 4. En qualsevol cas, si el problema és greu, segurament Apple llanci una actualització només per corregir la sentència.

Per poder funcionar, a hores d'ara AceDeceiver necessita que els usuaris descarreguin l'aplicació per a Windows Aisi Helper i la instal·lin en el seu ordinador abans que el el malware pugui infectar els dispositius iOS. Un cop més, es demostra la importància de descarregar només programari des de les fonts oficials i que no és or tot el que lluu. Això és igual d'important o potser més en els dispositius amb Jailbreak, però en aquest cas descarregant ajustos i aplicacions només de repositoris fiables, com pot ser el cas de BigBoss (encara que va haver un cas en què va ser hackejat i mai podem estar 100% segurs d'aquestes coses). Hi ha ocasions en què el sentit comú pot ser el millor antivirus.