Apple responde a la preocupación causada por Masque

Apple ha hecho una serie de comentarios acerca de «Masque», el ataque que reemplaza aplicaciones legítimas por contrapartidas maliciosas indicando que la seguridad tanto de iOS como de OS X es suficiente para prevenir este tipo de ataques.

Cualquier aplicación instalada en un iPhone o iPad proviene exclusivamente de la App Store, por lo que para actualizar una aplicación o descargar una nueva siempre ha de venir desde la tienda de Apple. El método utilizado por Masque es diferente: utiliza correos electrónicos o enlaces a sitios web para intentar que el usuario la descargue desde allí. El método de inyección está basado en el uso del sistema de perfiles para empresa de Apple, que permite la instalación de aplicaciones fuera de la App Store. La vulnerabilidad, descubierta por la empresa FireEye está basada en un error por parte de Apple que no verifica que el certificado que firma el código de la aplicación es el mismo para aplicaciones que utilizan el mismo identificador de bundle (paquete).

Así, por ejemplo, un usuario convenientemente engañado podría instalar una aplicación bancaria que parece exacta a la original pero que envía la información introducida al atacante. Las aplicaciones por defecto del sistema, como Mail, Safari y otras, no están afectadas.

FireEye notificó a Apple de este problema el 26 de julio, pero iOS 8.1.1 beta, la última versión en desarrollo por parte de Apple sigue siendo vulnerable.

Masque puede considerarse como una forma avanzada de phishing. Al respecto de los usuarios y como medida natural de protección, ninguna aplicación debe descargarse desde otro sitio que no sea la App Store. Es más, cuando se ejecuta cualquier enlace a una aplicación, inmediatamente se es redirigido a la tienda de Apple dentro de su propia aplicación y nunca un banco pedirá (ni un desarrollador) que utilices una app enviada por correo electrónico o la descargues a través de Safari.

Apple, por su parte, ha declarado al respecto de este problema, definido por algunos medios como una vulnerabilidad grave, indicando que la compañía de Cupertino no está al tanto de ningún usuario afectado por esta vulnerabilidad y recomienda vivamente a los usuarios que descarguen aplicaciones exclusivamente desde la App Store mientras que los usuarios de empresas solo deben descargar aplicaciones desde los sitios seguros de sus respectivas compañías.

One Comment

  1. Santiago

    Vamos, que se han puesto de perfil porque todavía no tienen una solución. Allá usté con lo que hace, viene a decir. Ya verás como cuando tengan la solución para blindar el sistema lo anuncian como gran fazaña. Típico comportamiento de cualquier gran empresa.

Deja una respuesta