Nuevo agujero de seguridad en iOS permite reemplazar aplicaciones oficiales con impostores maliciosos

Nuevo agujero de seguridad en iOS permite reemplazar aplicaciones oficiales con impostores maliciosos

Por el momento Apple no ha solucionado esta vulnerabilidad.

La firma de seguridad informática FireEye acaba de publicar la existencia de una vulnerabilidad en iOS llamada Masque Attack, la cual permite a un pirata informático engañar al usuario en la descarga de aplicaciones y en lugar de instalar herramientas legítimas, dejar en el móvil una versión falsa que puede acceder a los datos del equipo y robar información valiosa desde cuentas bancarias, correo electrónico y mucho más.

Para entender cómo funciona Masque Attack, debemos saber que Apple otorga una función oficial llamada enterprise/ad-hoc provisioning system, la cual permite a los desarrolladores de software y usuarios empresariales instalar aplicaciones desde fuera de la App Store oficial, utilizando sólo un vínculo hacia algún sitio en Internet.

La vulnerabilidad está en que al instalar dichos paquetes Apple no verifica si son oficiales o no, por lo que el usuario podría descargar algo que se llame “App de Twitter oficial” y que luzca tal como la original, pero que en realidad corresponda a código malicioso que puede robar información del equipo. De aquí en adelante las posibilidades son infinitas: un pirata informático podría crear impostores de aplicaciones para gestionar datos bancarios, correo electrónico, redes sociales y mucho más.

Porque dichos impostores incluso pueden desinstalar la aplicación oficial si es que ya existe y sobre-escribirla (en caso de hacerse pasar por una actualización), utilizando los datos guardados previamente como contraseñas y números de tarjeta de crédito.

Según FireEye, Apple fue alertado de esta vulnerabilidad el día 26 de julio de este año, aunque no se han tomado medidas para solucionar el problema ni se han escuchado declaraciones oficiales desde la compañía. Así que por el momento, los usuarios de iOS 7.1.1 hacia adelante deben confiar sólo en aplicaciones instaladas desde la App Store incluso en dispositivos que no poseen jailbreak, ya que esta vulnerabilidad afecta a todos.

Masque Attack se suma a WireLurker como el segundo agujero de seguridad importante revelado en menos de dos semanas, con este último afectando a las computadoras corriendo sistema operativo OS X y siendo capaz de infectar a móviles con iOS a través de USB, anotándose como un pionero en temas de malware para dispositivos Apple.