skip to main | skip to sidebar
26 commenti

L’App Store subisce la prima infezione importante di malware

L'App Store di Apple è stato infettato, ma niente panico: la disinfezione è già stata completata.

L'infezione risale ad aprile e ha riguardato quasi 500 applicazioni. Per fortuna le app infettate hanno lo scopo di propinare pubblicità e non di rubare dati, ma la notizia è interessante perché si tratta della prima violazione importante di uno dei servizi commerciali di Internet che molti utenti reputano (o reputavano) inviolabile.

La tecnica usata è molto elegante: invece di attaccare frontalmente l'App Store, gli aggressori hanno disseminato in Rete copie infette del software Xcode usato dagli sviluppatori di app. Gli sviluppatori le hanno scaricate incautamente (invece di usare le versioni genuine offerte da Apple) e le hanno usate per generare le app, infettandole inconsapevolmente. Le app infettate sono state poi approvate da Apple e messe in vendita, superando i controlli di sicurezza di Apple. Il nome più celebre, fra le app infettate, è probabilmente WeChat.

Apple ha rimosso dall'App Store le app colpite dall'attacco; per evitare problemi, gli utenti devono semplicemente aggiornare le proprie app installate. Sarà invece difficile risolvere il danno alla reputazione di Apple.


Fonti: Fortune, Ars Technica.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (26)
Il danno di reputazione ci sta, ma più che di Apple (comunque colpevole di non aver controllato abbastanza a fondo prima di approvare) è dei vari sviluppatori…
Pare che il motivo per cui alcuni sviluppatori non scaricassero dal sito Apple fosse dovuto alla lentezza della comunicazione, specialmente per gli sviluppatori basati in Cina.

Non mi sento di dare la colpa a degli sviluippatori ignari. Il controllo doveva essere fatto da Apple, se invece di ignari fossero stati ben determinati?
Non sono uno sviluppatore Apple, non conosco come funziona ma magari il trucco sta nell'aggiungere delle funzioni legittime a scopo pubblicitario, quindi l'app ha della pubblicità che l'autore non avrebbe inserito. Se è così potrebbe succedere benissimo anche in Android.
Quindi i cinesi di WeChat hanno usato una copia illegale di Xcode ?
Chapeau.
@energio: Eh no! L'app store di Apple non è mica ad accesso libero. E' chiuso proprio per garantire la sicurezza e stavolta Apple ha toppato. Pare che i sistemi automatici di analisi di sicurezza delle APP fossero un po' sbrigativi e non ci fosse una supervisione umana.
I meccanismi di innesco del malware erano progettati per non scattare immediatamente dopo l'installazione dell'APP infetta e questo è bastato per passare il filtro.
...per me è un po' surreale.
Marmottone: leggi il commento di Scatola Grande.
Ma possibile che nessuno abbia capito quel è il problema di fondo? Apple si fida del client! Questo è il problema! Un applicazione web che viene bucata da un client alterato è roba non scadente, ma più semplicemente da dilettanti.
Il sistema super-sicuro di Apple è una bufala, altro che.
La colpa di Apple c'è, ed è di essere stata superficiale nei controlli, ritenendo (erroneamente) inutile verificare la parte di codice prodotta dal loro ambiente di sviluppo Xcode dato che proveniva dal loro AppStore ...ma il grosso della colpa è degli sviluppatori che hanno autorizzato l'installazione in OS X di una applicazione non certificata.
Per chi non lo sapesse infatti il sistema operativo Apple per i Mac ha di serie lo stesso sistema di "blindatura" di iOS già a partire da Lion (10.7) ma purtroppo, per garantire una certa retrocompatibilità, a differenza di iOS per l'utilizzatore con privilegi di amministrazione è possibile disattivare temporaneamente o definitivamente tale limitazione, permettendo l'installazione di applicazioni qualunque (una sorta di jailbreak ufficiale).
La stupidità di chi disabilità tale sistema di sicurezza è palese, tanto più se si tratta di uno sviluppatore che dovrebbe capirlo ancora meglio.
Io comunque dormo sonni molto più tranquilli affidandomi ad un sistema blindato come quello di Apple ...
@mc4777
Sei veramente convinto di quello che dici? Sul proprio computer, un utente (in particolare uno sviluppatore) installa cosa vuole. Non si può pensare di permettergli di usare solo app approvate... in particolare perché dovrà far girare il software che sta scrivendo, che per forza di cose non è approvato perché non l'ha ancora pubblicato.

Se pensi di poter dire "io installo solo software approvati quindi A ME non succederà" sei doppiamente ingenuo, perché le persone colpite dal malware erano proprio quelle che hanno installato il software approvato da apple. Un sistema di sicurezza che si fonda sulla blindatura del computer degli utenti finali è un sistema BACATO all'origine, perché basta scardinare la protezione di un solo terminale per compromettere tutta la catena. È la stessa idiozia dei DRM, che si chiama "cracked once, run everywhere"
Quindi se il meccanico autorizzato ti sistema la preziosa ferrari con pezzi dei freni quasi uguali, buoni a passare la revisione ma che ti fanno schiantare in curva la colpa è della ferrari... Interessante... Gli sviluppatori sono tutti registrati e sottoscrivono fior fior di impegni tra cui quello di usare gli strumenti di sviluppo originali di apple. Ora immagino ci sarà una stretta e sulle clausole e sui controlli a scapito degli sviluppatori corretti, onesti e seri e degli utenti.
Vabbè, vedo che tutti tirano le conclusioni senza considerare il PERCHÈ gli sviluppatori abbiano scaricato il software non dall'origine, seppur Scatola Grande l'abbia fatto presente.

Imho è un caso limite, non è che bisogna dare la colpa necessariamente a qualcuno; ora che si sa che certi sviluppatori hanno problemi ad accedere al software originale Apple dovrebbe spendere quei quattro euro necessari a mettere dei mirror ufficiali laddove quelli esistenti arrivano con difficoltà.
@avariatedeventuali

Nel tuo esempio hai saltato il passaggio in cui la Ferrari passa da Maranello dove verificano se i freni montati sono a posto.
@Scatola Grande

Senza offesa ma hai scritto un concentrato di sciocchezze. Poi il motivo per cui gli sviluppatori non scaricavano dal sito ufficiale è da imputare alla "lentezza della comunicazione"? Questa la mandiamo a Zelig :)

Un tizio apre un sito di recensioni Browser e per ogni recensione offre i link per scaricarli ma non dai siti ufficiali. Quindi i file potrebbero essere infetti o anche peggio. Diamo al 100% la colpa a Google, Microsoft, Mozilla?
Andiamo dai...

Sensato il commento di @avariatedeventuali che oltretutto mette in evidenza il fatto che le conseguenze si trasformeranno in seccature ulteriori a danno degli sviluppatori seri e onesti.

Certo nessuno assolve Apple al 100% ma ricordatevi "esperti di turno improvvisati", che nel mondo dell'informatica non esiste un sistema perfetto e inviolabile al 100%.

@ErMurena bravo boccia, infatti il punto è proprio quello. La casa madre è di fatto impossibilitata a verficare al 100% l'operato di tutta la filiera post vendita se il sistema è fondato su accordi di impegni sottoscritti.
Non credo nemmeno per un attimo che sviluppatori di app ios siano tanto cretini o sprovveduti e maggior ragione non lo credo di quelli di wechat.
Credo invece che chi opera all'ombra della città proibita debba per forza fare i conti con un governo poco avvezzo al liberismo intellettuale e che dovrà cercare di mettere il cappello sulla rete (fallendo miseramente) come già hanno provato a fare o fanno nsa, cia, mossad, mi5, servizi russi e via blaterando... Riuscire a mettere il cappello su apple sarebbe metterlo su servizi che quando diconsi riservati (salvo idiota di turno che usa 1234567890 come password) lo sono veramente.
e come disse un mio caro amico:" Bazinga!"
@Giuseppe Gilardi,
è vero, "nel mondo dell'informatica non esiste un sistema perfetto e inviolabile al 100%". Però Apple vende sicurezza ai suoi clienti, facendosela anche ben pagare. Se questo servizio non è stato garantito, è giusto che Apple si assuma le sue responsabilità, anche economiche.

A margine aggiungo: nel mondo del software libero è molto difficile che un problema di sicurezza scoperto ad aprile sia tenuto nascosto fino a settembre. Meditate, gente... :-)
@mc4777
Parti bene, ma la deduzione finale è l'opposto di quanto suggerirebbe il tuo ragionamento. Se,come scrivi tu, Apple si fida di un client non è sintomo del fatto (fatto, ripeto) che l'intero sistema è un colabrodo? Dove vedi la sicurezza in un sistema del genere?
Gli sviluppatori possono anche aver sbagliato, ma a me pare che questa sia la dimostrazione della non sicurezza dell'intero accrocchio.
@lufo88 Il tuo ragionamento è ineccepibile: alcuni sviluppatori, nel caso specifico, hanno sicuramente dimostrato leggerezza, ma Apple, in virtù dei suoi proclami sulla sicurezza dell'ecosistema, avrebbe dovuto tenere conto di ogni falla, cosa che purtroppo non ha fatto. D'altronde, se bastasse un contratto, e se Apple si fidasse degli sviluppatori, non sarebbe necessaria neanche la procedura di approvazione a cui sono sottoposte le app. La logica del ragionamento mi sembra piuttosto stringente.
@avarieedeventuali: no, perchè la Ferrari non ti dice "controlliamo noi cosa ha fatto il meccanico autorizzato PRIMA di darti indietro l'auto e ti garantiamo che è fatto a regola d'arte".


In questo caso, non hanno controllato abbastanza bene, quindi l'errore è loro.
"Riuscire a mettere il cappello su apple sarebbe metterlo su servizi che quando diconsi riservati (salvo idiota di turno che usa 1234567890 come password) lo sono veramente." Illuso. Non *esiste* un sistema infallibile, e questa faccenda lo dimostra in pieno.
@marcoalici
"... "nel mondo dell'informatica non esiste un sistema perfetto e inviolabile al 100%". Però..."

Ciao, elimina tutti i "però", i "se", i "forse". Quello che resta è un fatto reale e inconfutabile: "nell'informatica non può esistere un sistema inviolabile."
Punto.

La seguente affermazione: "Il primo problema che affligge la sicurezza di un sistema informatico è la componente che sta fra sedia e monitor", per quanto banale o scontato, in realtà riassume il punto della questione.

Possiamo anche puntare il dito, come fanno in tanti, su Apple, su Microsoft, tizio, caio e sempronio, ma alla fine facciamo solo inconcludenti chiacchiere da bar.

Per quanto riguarda il tuo discorso sul "software libero", in gran parte sono d'accordo ma vorrei precisare che "software libero" può trarre in inganno, il software libero lo si trova soprattutto sui siti warez :) sarebbe meglio parlare di open source, ovvero un sistema informatico aperto su cui lavorano programmatori di tutto il mondo.

Ma non credere che per questo motivo le cose vadano meglio, anzi in alcuni casi direi che la situazione è decisamente peggiore.

Affidare la propria vita, ad esempio una grave malattia cardiaca, a una macchina gestita da un software, sviluppato open source, su server remoto? mmmmhhh...
Nel caso preferirei non sapere nulla.
Sappiamo tutti che nel mondo c'è una quantità industriale di gente mentalmente disturbata, psicopatici, o anche "semplicemente" criminali.

sarebbe meglio parlare di open source, ovvero un sistema informatico aperto su cui lavorano programmatori di tutto il mondo.
quello e' quello che stallman chiama software libero (vedi questo documento in proposito)
quello che trovi come "freeware" e sar@%%0 e' l'abuso del termine "open source"
@illupodellaluna esistono sistemi meno colabrodo. Apple è quello che lo è meno di tutti. I disastri degli altri, reali e di dimensioni bibliche lo testimoniano, quando va bene, una volta l'anno come minimo.
Malware (introdotto dal compilatore! Una cosa gravissima) nel controllatissimo app store non mi pare di averne visto, poi vorrei avere l'elenco dei disastri. Gli ultimi tra l'altro riguardavano strumenti di derivazione open tipo SSH... Vi devo ricordare che sotto OSX c'è BSD?

Piuttosto quel malware faceva poco o nulla, ma se qualcuno ne volesse mettere uno più aggressivo? Tanto abbiamo visto che i controlli non ci sono.

Secondariamente, problema filosofico: come possiamo parlare di sicurezza e verifica dei codici sorgenti quando non puoi fidarti di cosa fa il compilatore del codice?
Trascurate un punto fondamentale nella difesa d'ufficio ad Apple: sono loro che garantiscono la qualità delle app, visto che sono loro che le pubblicano, non i programmatori. Non sono io che tengo una raccolta di link ai miei programmi preferiti.
credo che in tutta questa faccenda ci sia gente che ha imparato e gente che ha pagato. fine
@avariatedeventuali
esistono sistemi meno colabrodo.Apple è quello che lo è meno di tutti. I disastri degli altri, reali e di dimensioni bibliche lo testimoniano, quando va bene, una volta l'anno come minimo.

Sì, ma è Apple quella che si vanta della sua sicurezza e la usa come alibi per le sue "blinature", gli altri non lo fanno.