A medida que más ojos se asoman a XcodeGhost, el malware que logró colarse en App Store de Apple, más problemas salen a la superficie.
Los investigadores de Palo Alto Networks, dijeron en un informe actualizado que el malware contiene una vulnerabilidad que permite a un atacante ponerse como man-in-the-middle para controlar las aplicaciones de iOS infectadas por XcodeGhost.
"XcodeGhost utiliza HTTP para cargar la información y recibir comandos [comando y control] . El contenido de estas peticiones y respuestas HTTP se cifra mediante el algoritmo DES en modo ECB. Tampoco es difícil encontrar la clave de cifrado en su código mediante ingeniería inversa ", escribió el investigador Claud Xiao. "Considera que el tráfico HTTP puede ser secuestrado o falsificado en muchos sentidos. ... Al explotar esta vulnerabilidad, un atacante puede construir cualquier URL en cualquier esquema y controlar aplicaciones infectadas para abrir, o pedir un diálogo de alerta para nuevos ataques ".
El fin de semana, Palo Alto informó que 39 aplicaciones iOS infectadas con XcodeGhost se habían retirado de la App Store y que Amazon había cerrado tres servidores de comando y control del software malicioso alojado en instancias de Amazon EC2. La vulnerabilidad man-in-the-middle, sin embargo, todavía pone los dispositivos que ejecutan las aplicaciones infectadas en riesgo de explotar.
Dado que los informes iniciales, posiblemente miles de aplicaciones de iOS han sido identificadas como infectados; el equipo de hackers de iOS Pangu dijo que encontró más de 3.400, mientras que Appthority encontró 476 aplicaciones y Qihoo 360 encontro otras 350. Esto confirma los temores iniciales de Palo Alto que ya que el malware habia sido usado para compilar desde las fechas a partir de marzo, que es el mismo marco de tiempo en torno al tiempo en que aparecieron los servidores de comando y control, muchas más aplicaciones estaban en la mira de XcodeGhost.
Palo Alto, por su parte, dijo en su informe preliminar que algunas de las aplicaciones infectadas hacian phishing a los usuarios por sus credenciales de iCloud pero de forma incorrecta, pero esa funcionalidad podría añadirse con una ligera modificación.
"En iOS, si una aplicación solicita un diálogo por la clase UIAlertView, hay una alertViewStyle propiedad para especificar qué tipo de diálogo quiere mostrar. Por ejemplo, si se necesita un diálogo de introducción de contraseña, la propiedad debe ser asignada a UIAlertViewStyleLoginAndPasswordInput. Si el desarrollador de iOS no especificó ningún valor, por defecto el diálogo no tendrá forma de la entrada, pero es sólo una alerta con el mensaje y los botones ", dijo Xiao. "Verificamos todas las versiones de archivos maliciosos en XcodeGhost que tenemos disponible, y no encontramos en ninguna de ellas esta propiedad en especifico cuando se pida el cuadro de diálogo de alerta."
Atacar a la App Store es una tarea difícil dadas las estrictas condiciones para los desarrolladores de Apple y análisis de seguridad de las aplicaciones antes de que sean aceptados en la App Store. Usando el compilador Xcode como medio de colar aplicaciones infectadas en el mercado de Apple es una idea que ha sido explorada antes. Los documentos divulgados por Edward Snowden muestran que los investigadores de Sandia National Labs hicieron una presentación en una conferencia técnica hace tres años explicando cómo atacar OS X y el software iOS a través de kits de desarrollo de software.
La presentación recomienda explícitamente el uso de versiones modificadas de Xcode para abrir una puerta trasera en aplicaciones de OS X, exportar la clave privada de un desarrollador sin levantar una alerta y desactivar ASLR entre otras funcionalidades.
Las versiones modificadas de Xcode salieron en marzo, poco después del informe de Snowden, dijo Xiao. Los resultados en el motor de búsqueda más popular de China Baidu fueron envenenados y el Xcode modificado que contiene XcodeGhost fue posicionado en los primeros resultados. Los desarrolladores en China, debido a las restricciones de Internet en el país, son mucho más propensos a descargar rápidamente Xcode de un tercero que directamente de Apple.
Apple ha comunicado a sus desarrolladores que deben volver a compilar sus aplicaciones con una versión legítima de Xcode, y volver a enviar las aplicaciones afectadas.
Los investigadores de Palo Alto Networks, dijeron en un informe actualizado que el malware contiene una vulnerabilidad que permite a un atacante ponerse como man-in-the-middle para controlar las aplicaciones de iOS infectadas por XcodeGhost.
"XcodeGhost utiliza HTTP para cargar la información y recibir comandos [comando y control] . El contenido de estas peticiones y respuestas HTTP se cifra mediante el algoritmo DES en modo ECB. Tampoco es difícil encontrar la clave de cifrado en su código mediante ingeniería inversa ", escribió el investigador Claud Xiao. "Considera que el tráfico HTTP puede ser secuestrado o falsificado en muchos sentidos. ... Al explotar esta vulnerabilidad, un atacante puede construir cualquier URL en cualquier esquema y controlar aplicaciones infectadas para abrir, o pedir un diálogo de alerta para nuevos ataques ".
El fin de semana, Palo Alto informó que 39 aplicaciones iOS infectadas con XcodeGhost se habían retirado de la App Store y que Amazon había cerrado tres servidores de comando y control del software malicioso alojado en instancias de Amazon EC2. La vulnerabilidad man-in-the-middle, sin embargo, todavía pone los dispositivos que ejecutan las aplicaciones infectadas en riesgo de explotar.
Dado que los informes iniciales, posiblemente miles de aplicaciones de iOS han sido identificadas como infectados; el equipo de hackers de iOS Pangu dijo que encontró más de 3.400, mientras que Appthority encontró 476 aplicaciones y Qihoo 360 encontro otras 350. Esto confirma los temores iniciales de Palo Alto que ya que el malware habia sido usado para compilar desde las fechas a partir de marzo, que es el mismo marco de tiempo en torno al tiempo en que aparecieron los servidores de comando y control, muchas más aplicaciones estaban en la mira de XcodeGhost.
Palo Alto, por su parte, dijo en su informe preliminar que algunas de las aplicaciones infectadas hacian phishing a los usuarios por sus credenciales de iCloud pero de forma incorrecta, pero esa funcionalidad podría añadirse con una ligera modificación.
"En iOS, si una aplicación solicita un diálogo por la clase UIAlertView, hay una alertViewStyle propiedad para especificar qué tipo de diálogo quiere mostrar. Por ejemplo, si se necesita un diálogo de introducción de contraseña, la propiedad debe ser asignada a UIAlertViewStyleLoginAndPasswordInput. Si el desarrollador de iOS no especificó ningún valor, por defecto el diálogo no tendrá forma de la entrada, pero es sólo una alerta con el mensaje y los botones ", dijo Xiao. "Verificamos todas las versiones de archivos maliciosos en XcodeGhost que tenemos disponible, y no encontramos en ninguna de ellas esta propiedad en especifico cuando se pida el cuadro de diálogo de alerta."
Atacar a la App Store es una tarea difícil dadas las estrictas condiciones para los desarrolladores de Apple y análisis de seguridad de las aplicaciones antes de que sean aceptados en la App Store. Usando el compilador Xcode como medio de colar aplicaciones infectadas en el mercado de Apple es una idea que ha sido explorada antes. Los documentos divulgados por Edward Snowden muestran que los investigadores de Sandia National Labs hicieron una presentación en una conferencia técnica hace tres años explicando cómo atacar OS X y el software iOS a través de kits de desarrollo de software.
La presentación recomienda explícitamente el uso de versiones modificadas de Xcode para abrir una puerta trasera en aplicaciones de OS X, exportar la clave privada de un desarrollador sin levantar una alerta y desactivar ASLR entre otras funcionalidades.
Las versiones modificadas de Xcode salieron en marzo, poco después del informe de Snowden, dijo Xiao. Los resultados en el motor de búsqueda más popular de China Baidu fueron envenenados y el Xcode modificado que contiene XcodeGhost fue posicionado en los primeros resultados. Los desarrolladores en China, debido a las restricciones de Internet en el país, son mucho más propensos a descargar rápidamente Xcode de un tercero que directamente de Apple.
Apple ha comunicado a sus desarrolladores que deben volver a compilar sus aplicaciones con una versión legítima de Xcode, y volver a enviar las aplicaciones afectadas.
