Il malware del Georgia Tech su App Store

I ricercatori mostrano il proprio lavoro a una conferenza di addetti ai lavori. Lo scorso marzo erano riusciti a superare i filtri del marketplace di Cupertino con la loro creatura: Jekyll

Roma – Lasciar filtrare pezzi di codice malevolo mescolati alla rinfusa nel codice di un’app, superando i controlli preventivi di Apple e ricombinando il tutto direttamente sul terminale vittima iniziando a far danni. L’idea è venuta a un gruppo di ricercatori del Georgia Tech , che hanno descritto questa loro tecnica nel corso di un convegno tenutosi la scorsa settimana a Washington DC. L’operazione è stata portata a termine lo scorso marzo , ma solo oggi i risultati sono stati resi pubblici.

Jekyll, così si chiama la creazione del team che comprende Kangjie Lu, Long Lu, Tielei Wang, Wenke Lee e Simon Chung, sfrutta un’idea piuttosto semplice: nascondere le tracce che conducono all’identificazione della minaccia mescolando pezzi di codice alla rinfusa all’interno dell’app. La necessaria ricomposizione avviene direttamente sul terminale iOS che installa l’app: in questo modo, dichiarano i ricercatori, le sommarie verifiche effettuate da Apple su quanto viene sottoposto alla sua attenzione prima di essere pubblicato su App Store sono rese del tutto vane. Lo scorso marzo Jekyll è finito, per pochi minuti prima di essere ritirato dai suoi creatori ( scaricato solo da loro , nessuno è rimasto coinvolto nel loro esperimento), tra le schede dei prodotti scaricabili su iPhone e iPad.

Una volta installato, Jekyll mandava un messaggio ai suoi creatori: in questo modo il team ha potuto stabilire con precisione quando e quanto Apple abbia effettivamente verificato la bontà del codice caricato. In pochi secondi quella che all’apparenza era una app dedicata alle news è finita in vendita, lasciando i controllori del tutto ignari delle sue effettive capacità : raccogliere e spedire ai suoi creatori informazioni come quelle contenute nella rubrica indirizzi, mandare email e altri tipi di messaggi di testo (SMS o tweet) all’insaputa del proprietario del terminale, dirottare Safari verso un sito da cui scaricare altro codice nefasto. Il tutto grazie alla programmazione già presente all’atto dell’installazione, silente fino a pochi momenti dopo il primo lancio dell’app: giusto il tempo di ricombinare nell’ordine giusto il codice.

Non è la prima volta che accade qualcosa di simile: nel 2011 era stato il noto hacker specializzato in sistemi Apple, Charlie Miller, a piazzare un’app con doti speciali che la rendevano in grado di scaricare ulteriore codice da eseguire sul terminale. In quel caso Apple aveva reagito molto male alla faccenda, cacciando Miller dal programma per gli sviluppatori iOS. Questa volta invece un portavoce di Cupertino ha confermato che l’azienda è stata informata della faccenda, e che ha già provveduto a modificare il sistema operativo per migliorarne la sicurezza .

Restano in sospeso alcune domande relative alla qualità e alla efficienza dei controlli operati da Apple sulle app prima della loro pubblicazione su App Store: su questo argomento la Mela non ha voluto rilasciare alcun commento, ma da sempre la bontà e il tipo di controlli effettuati da Apple sono oggetto di contesa e discussione tra osservatori e tecnici.

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Pianeta Video scrive:
    ...
    Giusto mettere dei vigili che controllino i link e facciano delle sane multe a chi sgarra, bene così! @^[img]http://us.123rf.com/400wm/400/400/lisafx/lisafx0805/lisafx080500142/3100653-mature-police-officer-with-serious-expression-writing-up-your-traffic-ticket--isolated-on-white--bad.jpg[/img]
    • sgabbio 2.0 scrive:
      Re: ...
      01/10
    • Luco, giudice di linea mancato scrive:
      Re: ...
      - Scritto da: Pianeta Video
      facciano delle sane multe a chi sgarraCome chi spaccia per multiproprietà ciò che multiproprietà non è.Se fosse una multiproprietà, allora dovrebbe essere come le vere multiproprietà e cioè che l'anno dopo dovrei avere di nuovo per lo stesso periodo quello che ho comprato senza costi aggiuntivi, oppure, in mancanza, la restituzione integrale della quota.
      • ..... scrive:
        Re: ...
        E te rispondi a quel trolletto? Allora sei proprio un XXXXXXXX!
        • Luco, giudice di linea mancato scrive:
          Re: ...
          - Scritto da: .....
          E te rispondi a quel trolletto? Allora sei
          proprio un XXXXXXXX!Mi diverto. Come mi diverto a rispondere ad allibito. Mi piace sentire il rumore dei fegati che si spappolano.
    • certo certo scrive:
      Re: ...
      Occhio che l'immagine che hai pubblicato è coperta da diritto d'autore. Puoi utilizzarla per scopi non commerciali ma devi citarne la fonte, come esplicitato nel sito da cui l'hai... come dici tu di solito? Rubata?3. You will have to credit the source of the content as well as the photographer as per the End-User Licensing Agreement in this manner: "©[Photographer's Name]/123RF.COM"http://www.123rf.com/faq.php
    • krane scrive:
      Re: ...
      - Scritto da: Pianeta Video
      Giusto mettere dei vigili che controllino i link
      e facciano delle sane multe a chi sgarra, bene
      così!
      @^

      [img]http://us.123rf.com/400wm/400/400/lisafx/lisaSi utilizzano foto illegalmente eh ?Bravo, predica bene e razzola male.. Poi dici agli altri !
    • Jexx scrive:
      Re: ...
      Invece tu sei messo così:[img]http://www.tribenet.it/upload/image/blockbuster.jpg[/img]E questo è ciò che ti aspetta nel prossimo futuro:[img]http://3.bp.blogspot.com/-r3i9pXH754s/TqWVKhi9IEI/AAAAAAAAAVM/Ki2COoEBWnc/s400/barbone.jpg[/img]
  • unaDuraLezione scrive:
    "Verifica del link entrante"
    contenuto non disponibile
    • Domenico Mattia scrive:
      Re: "Verifica del link entrante"
      Oppure si scrivono due accuse a casaccio con qualche emoticon sghignazzante, e si risolve il problema così.
    • Luco, giudice di linea mancato scrive:
      Re: "Verifica del link entrante"
      - Scritto da: unaDuraLezione
      In pratica rapidshare dovrebbero registrare i
      referrer dei vari file richiesti, raggruppare per
      tale valore, fare una count e verificare quelli
      che fanno numeri
      grossi.

      Peccato che basta un bambino di tre anni per
      configurare il browser affinché non invii il
      referrer (e se l'utente è pigro, il sito può
      utilizzare link intermedi che fungono da
      deferrer) e addio anche a questo fantastico
      sistema di
      'monitoraggio'...
      --------------------------------------------------
      Modificato dall' autore il 19 agosto 2013 17.02
      --------------------------------------------------Ma la maggioranza dei forum/siti già mette i link in modo che non siano cliccabili ma selezionabili, tipicamente per incollarli dentro jdownloader... quindi il referrer semplicemente non c'è.
  • Rezz scrive:
    E le banche?
    E le banche conoscono il contenuto delle cassette di sicurezza dei propri clienti? O la provenienza del denaro dei loro correntisti?
    • Brusco scrive:
      Re: E le banche?
      Ci sono le norme antiriclaggio, che cercano di contrastare l'incertezza della provenienza del denaro. Fermo restando che i delinquenti non depositano i loro soldi in una banca italiana. E coi tempi che corrono, nemmeno Svizzera.
      • bubba scrive:
        Re: E le banche?
        - Scritto da: Brusco
        Ci sono le norme antiriclaggio, che cercano di
        contrastare l'incertezza della provenienza del
        denaro. Fermo restando che i delinquenti non
        depositano i loro soldi in una banca italiana. E
        coi tempi che corrono, nemmeno
        Svizzera.vuoi dire che all'Arcoriano hanno sequestrato i conti? chiuso la Arner e il Credito Cooperativo Fiorentino??
    • Allibito scrive:
      Re: E le banche?
      - Scritto da: Rezz
      E le banche conoscono il contenuto delle cassette
      di sicurezza dei propri clienti? O la provenienza
      del denaro dei loro
      correntisti?Le banche sono legali...
      • merit scrive:
        Re: E le banche?
        E Rapidshare no?
      • Luco, giudice di linea mancato scrive:
        Re: E le banche?
        - Scritto da: Allibito
        - Scritto da: Rezz

        E le banche conoscono il contenuto delle
        cassette

        di sicurezza dei propri clienti? O la
        provenienza

        del denaro dei loro

        correntisti?
        Le banche sono legali...Anche condividere e scaricare materiale coperto da copyright. Altrimenti i forum e i blog e i siti sarebbero stati chiusi. Il fatto che sono online (e facilmente trovabili con qualsiasi motore di ricerca) vuol dire che sono legali e che è per questo che non vengono chiusi.Se tu fossi un titolare dei diritti (ma non lo sei) avresti fatto denuncia e il sito avrebbe chiuso.Visto che i siti sono online, vuol dire che o i titolari dei diritti se ne sbattono i maroni (e quindi non vogliono che venga tutelato il copyright delle loro opere) oppure che sono degli incapaci (e quindi non meritano di avere quei diritti) oppure che semplicemente non possono farci niente (e quindi quei siti sono legali).Alla faccia tua e di chi vorrebbe farmi spendere soldi, adesso vado sul sito rai e mi guardo un film. GRATIS.
        • Nome e cognome scrive:
          Re: E le banche?
          - Scritto da: Luco, giudice di linea mancato
          - Scritto da: Allibito

          - Scritto da: Rezz


          E le banche conoscono il contenuto delle

          cassette


          di sicurezza dei propri clienti? O la

          provenienza


          del denaro dei loro


          correntisti?

          Le banche sono legali...

          Anche condividere e scaricare materiale coperto
          da copyright. Altrimenti i forum e i blog e i
          siti sarebbero stati chiusi. Il fatto che sono
          online (e facilmente trovabili con qualsiasi
          motore di ricerca) vuol dire che sono legali e
          che è per questo che non vengono
          chiusi.
          Se tu fossi un titolare dei diritti (ma non lo
          sei) avresti fatto denuncia e il sito avrebbe
          chiuso.
          Visto che i siti sono online, vuol dire che o i
          titolari dei diritti se ne sbattono i maroni (e
          quindi non vogliono che venga tutelato il
          copyright delle loro opere) oppure che sono degli
          incapaci (e quindi non meritano di avere quei
          diritti) oppure che semplicemente non possono
          farci niente (e quindi quei siti sono
          legali).
          Alla faccia tua e di chi vorrebbe farmi spendere
          soldi, adesso vado sul sito rai e mi guardo un
          film.
          GRATIS.Quoto.
  • Sg@bbio scrive:
    Sentenza demente.
    Praticamente costringi a controllare OGNI SINGOLO LINK ? Stai a vedere che il servizio in questione cambierà sede.
    • MKI scrive:
      Re: Sentenza demente.
      bah in realtà è banale e facilmente automatizzabile il proXXXXX, il punto è che rapidshare è morto da tempo, ditemi un sito che usa ancora rapidshare...è stato spento per 2 settimane e nessuno se ne è accorto.
    • Kyushu scrive:
      Re: Sentenza demente.
      - Scritto da: Sg@bbio
      Praticamente costringi a controllare OGNI SINGOLO
      LINK ? Stai a vedere che il servizio in questione
      cambierà sede.E perché ? Rapidshare ha sede in Svizzera, al massimo bloccherà l'acXXXXX agli utenti tedeschi e buonanotte. Ai tedeschi, intendo...
  • Brusco scrive:
    Basta coi link...
    Torneremo al passaparola, o ai messaggi in codice: "Per Quel gran pezzo dell'Ubalda tutta nuda e tutta calda scrivi pasdjpdjuwd dopo condividi rapidamente punto commerciale". Dovrebbe essere immune, mica è un link. O)
    • bubba scrive:
      Re: Basta coi link...
      - Scritto da: Brusco
      Torneremo al passaparola, o ai messaggi in
      codice:


      "Per Quel gran pezzo dell'Ubalda tutta nuda e
      tutta calda scrivi pasdjpdjuwd dopo condividi
      rapidamente punto commerciale". Dovrebbe essere
      immune, mica è un link.
      O)o anche cosi:begin 644 noneunlink.txtF:'1T
Chiudi i commenti