{"id":7850,"date":"2016-03-31T12:00:03","date_gmt":"2016-03-31T12:00:03","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7850"},"modified":"2020-02-26T17:30:58","modified_gmt":"2020-02-26T15:30:58","slug":"acedeciever-mitm-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/acedeciever-mitm-attack\/7850\/","title":{"rendered":"AceDeceiver: il malware che pu\u00f2 infettare QUALSIASI iPhone"},"content":{"rendered":"<p>In genere, gli utenti iPhone considerano i loro telefoni delle fortezze inespugnabili che Apple ha costruito per loro: spesso si dice che gli iPhone siano sicuri, specialmente se paragonati ai dispositivi Android. S\u00ec, sono davvero <em>pi<\/em><em>\u00f9<\/em><em> sicuri<\/em> dei telefoni Android, ma questo non significa che siano <em>completamente sicuri<\/em>. Come sapete, non ci sono fortezze che non possano essere conquistate.<\/p>\n<p><strong><\/strong><\/p>\n<p>Abbiamo <a href=\"https:\/\/www.kaspersky.it\/blog\/il-malware-wirelurker-attacca-i-mac-os-x-e-poi-i-dispositivi-ios\/5196\/\" target=\"_blank\" rel=\"noopener\">gi\u00e0 trattato<\/a> non <a href=\"https:\/\/www.kaspersky.it\/blog\/il-malware-wirelurker-attacca-i-mac-os-x-e-poi-i-dispositivi-ios\/5196\/\" target=\"_blank\" rel=\"noopener\">uno soltanto<\/a> ma diverse, spiacevoli <a href=\"https:\/\/www.kaspersky.it\/blog\/xcodeghost-compromises-apps-in-app-store\/6633\/\" target=\"_blank\" rel=\"noopener\">minacce a iOS <\/a>e abbiamo fornito dei consigli <a href=\"https:\/\/www.kaspersky.it\/blog\/10-consigli-per-rendere-il-vostro-iphone-ancora-piu-sicuro\/4911\/\" target=\"_blank\" rel=\"noopener\">per rendere sicuri i vostri gadget Apple<\/a>. Tuttavia, il malware ai danni di iOS continua a emergere e il campione pi\u00f9 recente, <a href=\"http:\/\/researchcenter.paloaltonetworks.com\/2016\/03\/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device\/\" target=\"_blank\" rel=\"noopener nofollow\">scoperto da Palo Alto Networks<\/a>, sembra essere, a oggi, uno dei pi\u00f9 pericolosi.<\/p>\n<p>Perch\u00e9? Perch\u00e9 non richiede che sul vostro dispositivo iOS sia effettuato il jailbreak, n\u00e9 che si serva di certificati aziendali rubati per installare un software dannoso. La nuova familia di malware si chiama AceDeceiver ed \u00e8 in grado di infettare praticamente <strong>qualsiasi<\/strong> dispositivo iOS.<\/p>\n<h3><strong>Le buone intenzioni<\/strong><\/h3>\n<p>Tutto \u00e8 cominciato con la brillante idea di qualcuno di non pagare per ci\u00f2 che volevano. In questo caso, si trattava di un metodo per fare copie pirata di app Ios chiamato attacco FairPlay Man-in-the-Middle. Non perderemo tempo a spiegarvi qui il concetto degli attacchi Man-in-the-Middle, potete saperne di pi\u00f9 con un<a href=\"https:\/\/www.kaspersky.it\/blog\/che-cose-un-attacco-man-in-the-middle\/706\/\" target=\"_blank\" rel=\"noopener\"> post dedicato<\/a>. Qui ci focalizzeremo piuttosto su cos\u2019\u00e8 FairPlay e su come AceDeceiver effettivamente funzioni.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Trojan Exploits Apple DRM Flaw, Plants <a href=\"https:\/\/twitter.com\/hashtag\/Malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Malware<\/a> On Non-Jailbroken <a href=\"https:\/\/twitter.com\/hashtag\/iOS?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iOS<\/a> Devices: <a href=\"https:\/\/t.co\/n5MHIRbOn7\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/n5MHIRbOn7<\/a> <a href=\"https:\/\/t.co\/SluytGnjmJ\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/SluytGnjmJ<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/710219381712801793?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 16, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>FairPlay \u00e8 la protezione DRM che utilizza Apple per la musica e i video, come pure per le app iOS. Come probabilmente sapete, gli utenti iPhone possono acquistare le app dal client di iTunes sui loro computer e quindi trasferirle ai telefoni. Ovviamente, richiede una prova che l\u2019utente abbia davvero acquistato la app e viene recapitata tramite un codice di autorizzazione generato da iTunes per ogni applicazione. Ecco come funziona FairPlay.<\/p>\n<p>Il punto \u00e8 che il codice \u00e8 sempre lo stesso per ogni app. E se siete riusciti a intercettarlo una volta, potete utilizzarlo per installare la stessa app su un numero illimitato di iPhone and iPad. In sostanza \u00e8 cos\u00ec che funziona FairPlay Man-in-the-Middle.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/03\/05233319\/acedeciever-mitm.png\" alt=\"\" width=\"834\" height=\"407\"><\/p>\n<h3><strong>L<\/strong><strong>\u2018<\/strong><strong>app con due facce<\/strong><\/h3>\n<p>Alla fine, il metodo si \u00e8 evoluto fino a creare un app store pirata completo. Era basato su un programma di Windows, Aisi Helper, che in principio era usato per effettuare il jailbreak degli iPhone, fare il backup dei dati e reinstallare iOS. A questo tool era stata aggiunta una nuova funzione: cominciava a inserire un\u2019app con lo stesso nome in qualsiasi iPhone connesso a un computer con Aisi Helper installata. Quella app mostra un sacco di app pirata che gli utenti potrebbero scaricare gratuitamente.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to make your <a href=\"https:\/\/twitter.com\/hashtag\/iPhone?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iPhone<\/a> even more secure <a href=\"http:\/\/t.co\/FBaWOZY5W5\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/FBaWOZY5W5<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/security?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#security<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/privacy?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#privacy<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/516967503395037184?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 30, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Curiosamente, questa stessa app Aisi Helper era stata installata utilizzando la medesima tecnica FairPlay Man-in-the-Middle. Ecco perch\u00e9 per inserire Aisi Helper negli iPhone, i suoi creatori dovevano dapprima caricarla sull\u2019App Store, per ottenere un codice di autenticazione legale per questa app specifica. Il problema era che, in effetti, alla Apple non piacciono gli app shop pirata all\u2019interno dell\u2019App Store.<\/p>\n<p>Per allettare i code reviewer Apple, Aisi Helper fingeva di essere un\u2019innocua e noiosa app gratuita di sfondi. Per esseri sicuri che nessuno scoprisse mai la verit\u00e0, i delinquenti si sono serviti di un doppio trucco. Da una parte, hanno pubblicato versioni di questa app solo negli App Store di Stati Uniti e Regno Unito, al di l\u00e0 della portata degli utenti cinesi. Dall\u2019altra, quando \u00e8 stata lanciata per la prima volta, la app ha registrato la localizzazione del telefono e se non era in Cina, mostrava solo sfondi (e cos\u00ec ha fatto da allora).<\/p>\n<p>Quindi, per vedere la vera interfaccia pirata, i code reviewer dell\u2019App Store statunitense, come qualunque altro utente casuale, devono trovarsi in Cina, cosa molto improbabile. Ecco perch\u00e9 mai nessuno si \u00e8 accorto che l\u2019app \u00e8 pi\u00f9 di una qualsiasi serie di sfondi.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Chinese Mobile Ad Library Backdoored to Spy on iOS Devices: <a href=\"https:\/\/t.co\/1kpMrH8HJC\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/1kpMrH8HJC<\/a> via @thretapost <a href=\"https:\/\/t.co\/0I1RTUEWln\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/0I1RTUEWln<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/661962442587643905?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 4, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Apple ha ormai rimosso dall\u2019App Store tutte le versioni della app Aisi Helper. Ma ci\u00f2 non significa la scomparsa di questo malware. Per operare un attacco FairPlay Man-in-the Middle non c\u2019\u00e8 proprio bisogno di avere un\u2019app nell\u2019App Store. La condizione \u00e8 che <em>sia stata l<\/em><em>\u00ec<\/em><em> una volta<\/em>. E questo \u00e8 vero al 100% per quelle di Aisi Helper.<\/p>\n<h3><strong>Il gioco sporco<\/strong><\/h3>\n<p>Dunque, cos\u2019\u00e8 che non va con un app store pirata, a parte le questioni legali e morali? Bene, se qualcuno vi dice qualcosa come \u201cL\u2019ho rubato e adesso te lo d\u00f2 gratis\u201d, non credetegli. Mai. C\u00e8 una probabilit\u00e0 del 99,9% che vi stiano fregando.<\/p>\n<p>E questo \u00e8 esattamente il caso. Queste app per un pezzo sono state innocue, ma a un certo punto, hanno cominciato a chiedere ai loro utenti di inserire le credenziali d\u2019accesso dell\u2019ID Apple \u201cper funzioni aggiuntive\u201d. In seguito, quelle credenziali sono state caricate sul server di comando di AceDeceiver.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">7 <a href=\"https:\/\/twitter.com\/hashtag\/iPhone?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iPhone<\/a> Apps for your Security <a href=\"http:\/\/t.co\/lFNTv8RxLM\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/lFNTv8RxLM<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/FindMyiPhone?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#FindMyiPhone<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iOS?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iOS<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/458250517022769152?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 21, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Penso che adesso sia piuttosto chiaro perch\u00e9 stiamo parlando di AceDeceiver su Kaspersky Daily. Il difetto nella sicurezza di FairPlay non \u00e8 ancora corretto. E anche se lo fosse, la versione pi\u00f9 vecchia di iOS probabilmente rimarrebbe vulnerabile allo stesso attacco.<\/p>\n<h3><strong>OK, cosa posso fare per proteggermi?<\/strong><\/h3>\n<p>La buona notizia \u00e8 che questo particolare attacco non colpisce soggetti fuori dalla Cina. Quella cattiva \u00e8 che \u00e8 piuttosto facile per i delinquenti approfittare nuovamente di questa vulnerabilit\u00e0 e creare dei nuovi malware che colpirebbero altri paesi, facendo ancora pi\u00f9 danno. Non importa se viviate o meno in Cina, vi suggeriamo di fare quanto segue:<\/p>\n<ol>\n<li>Non cercate di effettuare il jailbreak sul vostro iPhone. Non \u00e8 mai stato sicuro, e come potete vedere, neanche il software richiesto per compiere questa operazione \u00e8 sicuro.<\/li>\n<\/ol>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Tips: Never root or jailbreak your device, only use official app market, read user review <a href=\"https:\/\/twitter.com\/hashtag\/relentless?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#relentless<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/obsession?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#obsession<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/mobile?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#mobile<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/kaspersky?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#kaspersky<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/359222332952297473?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 22, 2013<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<ol start=\"2\">\n<li>Abbiamo sempre suggerito di seguire questa regola per Google Play, ma pare vada bene anche per l\u2019App Store: prestate attenzione alle app che installate. I creatori di AceDeceiver hanno dimostrato che i code review di Apple possono essere bypassati con qualche raggiro. Sfortunatamente, il software antivirus non \u00e8 consentito su iOS, quindi una volta che il malware \u00e8 dentro, non c\u2019\u00e8 pi\u00f9 niente da fare.<\/li>\n<li>Per fortuna, potete proteggere gli altri vostri dispositivi. Assicuratevi di possedere, ovunque sia possibile, delle buone soluzioni di sicurezza. In questo caso, un <a href=\"https:\/\/www.kaspersky.com\/it\/multi-device-security?redef=1&amp;reseller=it_kismdkdit_oth_ona_smm__onl_b2c__lnk_______\" target=\"_blank\" rel=\"noopener nofollow\">software antivirus sul PC<\/a> avrebbe rilevato Aisi Helper come il dannoso AceDeceiver.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Un app store pirata che ha ingannato Apple e ha superato il suo code review, adesso sta rubando le credenziali degli utenti usando l\u2019attacco FairPlay Man-in-the Middle.<\/p>\n","protected":false},"author":696,"featured_media":7852,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[3,204,1067,25,442,638,443,116,1940,1888],"class_list":{"0":"post-7850","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-apple","10":"tag-ios","11":"tag-ipad","12":"tag-iphone","13":"tag-man-in-the-middle","14":"tag-minacce","15":"tag-mitm","16":"tag-phishing","17":"tag-pirati","18":"tag-trojans"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/acedeciever-mitm-attack\/7850\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/acedeciever-mitm-attack\/5391\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/acedeciever-mitm-attack\/3777\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/acedeciever-mitm-attack\/6953\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/acedeciever-mitm-attack\/6975\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/acedeciever-mitm-attack\/11452\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/acedeciever-mitm-attack\/11730\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/acedeciever-mitm-attack\/5492\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/acedeciever-mitm-attack\/7399\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/acedeciever-mitm-attack\/10893\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/acedeciever-mitm-attack\/11452\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/acedeciever-mitm-attack\/11730\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/acedeciever-mitm-attack\/11730\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apple\/","name":"apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7850","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7850"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7850\/revisions"}],"predecessor-version":[{"id":20714,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7850\/revisions\/20714"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7852"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7850"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7850"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7850"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}