La semana pasada se filtró una información sobre un virus llamado WireLurker que afectaba a los usuarios del iPhone. Apenas unos días más tarde, la firma de investigación en seguridad móvil FireEye ha descubierto un fallo de seguridad potencialmente mucho más dañino: Masque Attack, una vulnerabilidad que podría permitir a piratas informáticos sustituir las aplicaciones que tiene instaladas el usuario de un iPhone, iPad o iPod touch por otras apps falsas que incluyen un código malicioso a través del cual se pueden robar los datos privados almacenados en el dispositivo.
Según FireEye, el fallo fue descubierto en julio y es atribuible a Apple, puesto que iOS no verifica que los certificados de contrapartida de las aplicaciones tengan el mismo identificador de ‘bundle’ (paquete). Cualquier aplicación instalada en un iPhone o iPad proviene exclusivamente de la App Store, por lo que para actualizar una aplicación o descargar una nueva, ésta ha de proceder siempre de la tienda de Apple.
Lo que hace Masque Attack es engañar al usuario de iPhone, iPad o iPod touch para que instale una aplicación con un nombre engañoso, como “Nueva Flappy Bird” o “Angry Bird Update”. Estas nuevas actualizaciones de las apps previamente instaladas en el dispositivo del usuario son maliciosas. Los atacantes envían correos electrónicos con enlaces a sitios web para intentar que el usuario la descargue desde allí.
“Masque Attack puede reemplazar aplicaciones auténticas, por ejemplo de banca o de correo electrónico, usando el malware a través de Internet”, afirma FireEye. “Eso significa que el atacante puede robar credenciales bancarias de los usuarios mediante la sustitución de una aplicación de banca auténtica por un malware que tiene una interfaz de usuario idéntica a la original”.
“Sorprendentemente -añade este firma-, el malware puede acceder a los datos locales de la aplicación original, que no fue eliminada cuando se sustituyó por la aplicación maliciosa. Estos datos pueden contener mensajes de correo electrónico almacenados en caché, o incluso los datos de inicio de sesión de la cuenta del usuario, de modo que el malware puede iniciar sesión en la cuenta del usuario directamente”.
FireEye asegura que el 26 de julio notificó de Apple acerca de esta vulnerabilidad, que tiene afectaciones de seguridad graves para los dispositivos equipados con el sistema operativo iOS, desde la versión 7.1.1 a iOS 8.1.1 beta.