“Masque” una vulnerabilidad en iOS que permite reemplazar aplicaciones por contrapartidas falsas

Una vulnerabilidad recientemente descubierta en iOS podría permitir a un atacante usando ingeniería social engañar a un usuario para reemplazar una aplicación legítima por una falsa que incluyera código para el robo de sus datos. Objetivo claro de un atacante serían las aplicaciones bancarias.

Cualquier aplicación instalada en un iPhone o iPad proviene exclusivamente de la App Store, por lo que para actualizar una aplicación o descargar una nueva siempre ha de venir desde la tienda de Apple. El método utilizado por Masque es diferente: utiliza correos electrónicos o enlaces a sitios web para intentar que el usuario la descargue desde allí. El método de inyección está basado en el uso del sistema de perfiles para empresa de Apple, que permite la instalación de aplicaciones fuera de la App Store. La vulnerabilidad, descubierta por la empresa FireEye está basada en un error por parte de Apple que no verifica que el certificado que firma el código de la aplicación es el mismo para aplicaciones que utilizan el mismo identificador de bundle (paquete).

Así, por ejemplo, un usuario convenientemente engañado podría instalar una aplicación bancaria que parece exacta a la original pero que envía la información introducida al atacante. Las aplicaciones por defecto del sistema, como Mail, Safari y otras, no están afectadas.

FireEye notificó a Apple de este problema el 26 de julio, pero iOS 8.1.1 beta, la última versión en desarrollo por parte de Apple sigue siendo vulnerable.

Masque puede considerarse como una forma avanzada de phishing. Al respecto de los usuarios y como medida natural de protección, ninguna aplicación debe descargarse desde otro sitio que no sea la App Store. Es más, cuando se ejecuta cualquier enlace a una aplicación, inmediatamente se es redirigido a la tienda de Apple dentro de su propia aplicación y nunca un banco pedirá (ni un desarrollador) que utilices una app enviada por correo electrónico o la descargues a través de Safari.

0 0 votos
Article Rating
Subscribe
Notify of
2 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
Santiago
Santiago
9 years ago

Steve Wozniak, importándole todo tres pollas:

“Apple could have had a much bigger share of the smartphone market if it had a larger-screen iPhone for the past three years,” Wozniak told CNNMoney from Capital One’s new Innovation Center in Plano, Texas. “It could have competed better with Samsung.”

“Apple Watch is really just a luxury fitness band” (pero aún así lo probará).

Yules
Yules
9 years ago

#1 Pues a ver si te aplicas el cuento y dejas las campañas publicitarias para cuando te las paguen. Oh, wait¡… ¿O es que ya te las pagan? 😉

2
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x