Il malware del Georgia Tech su App Store

Lasciar filtrare pezzi di codice malevolo mescolati alla rinfusa nel codice di un’app, superando i controlli preventivi di Apple e ricombinando il tutto direttamente sul terminale vittima iniziando a far danni. L’idea è venuta a un gruppo di ricercatori del Georgia Tech , che hanno descritto questa loro tecnica nel corso di un convegno tenutosi la scorsa settimana a Washington DC. L’operazione è stata portata a termine lo scorso marzo , ma solo oggi i risultati sono stati resi pubblici.

Jekyll, così si chiama la creazione del team che comprende Kangjie Lu, Long Lu, Tielei Wang, Wenke Lee e Simon Chung, sfrutta un’idea piuttosto semplice: nascondere le tracce che conducono all’identificazione della minaccia mescolando pezzi di codice alla rinfusa all’interno dell’app. La necessaria ricomposizione avviene direttamente sul terminale iOS che installa l’app: in questo modo, dichiarano i ricercatori, le sommarie verifiche effettuate da Apple su quanto viene sottoposto alla sua attenzione prima di essere pubblicato su App Store sono rese del tutto vane. Lo scorso marzo Jekyll è finito, per pochi minuti prima di essere ritirato dai suoi creatori ( scaricato solo da loro , nessuno è rimasto coinvolto nel loro esperimento), tra le schede dei prodotti scaricabili su iPhone e iPad.

Una volta installato, Jekyll mandava un messaggio ai suoi creatori: in questo modo il team ha potuto stabilire con precisione quando e quanto Apple abbia effettivamente verificato la bontà del codice caricato. In pochi secondi quella che all’apparenza era una app dedicata alle news è finita in vendita, lasciando i controllori del tutto ignari delle sue effettive capacità : raccogliere e spedire ai suoi creatori informazioni come quelle contenute nella rubrica indirizzi, mandare email e altri tipi di messaggi di testo (SMS o tweet) all’insaputa del proprietario del terminale, dirottare Safari verso un sito da cui scaricare altro codice nefasto. Il tutto grazie alla programmazione già presente all’atto dell’installazione, silente fino a pochi momenti dopo il primo lancio dell’app: giusto il tempo di ricombinare nell’ordine giusto il codice.

Non è la prima volta che accade qualcosa di simile: nel 2011 era stato il noto hacker specializzato in sistemi Apple, Charlie Miller, a piazzare un’app con doti speciali che la rendevano in grado di scaricare ulteriore codice da eseguire sul terminale. In quel caso Apple aveva reagito molto male alla faccenda, cacciando Miller dal programma per gli sviluppatori iOS. Questa volta invece un portavoce di Cupertino ha confermato che l’azienda è stata informata della faccenda, e che ha già provveduto a modificare il sistema operativo per migliorarne la sicurezza .

Restano in sospeso alcune domande relative alla qualità e alla efficienza dei controlli operati da Apple sulle app prima della loro pubblicazione su App Store: su questo argomento la Mela non ha voluto rilasciare alcun commento, ma da sempre la bontà e il tipo di controlli effettuati da Apple sono oggetto di contesa e discussione tra osservatori e tecnici.

Luca Annunziata