A Apple possui alguns recursos para inibir a pirataria de apps no iOS, mas uma forma de ataque está driblando essas limitações e instalando malware. Segundo a Palo Alto Networks, um trojan chamado “AceDefender” é capaz de invadir dispositivos sem jailbreak.
Desde 2013, a técnica “FairPlay Man-in-the-middle” (MITM) vem explorando falhas no sistema DRM da Apple, chamado “Fairplay”, para permitir que apps piratas rodem em dispositivos iOS sem jailbreak.
Funciona assim: primeiro, o usuário baixa e instala um programa para Windows chamado Aisi Helper, usado para fazer backup e jailbreak de dispositivos. (Ele tinha cerca de 6,6 milhões de usuários ativos em 2014.)
Então, o Aisi Helper instala um app quando você conecta um iPhone ou iPad ao computador. Normalmente, dispositivos iOS solicitam um código de autorização para cada app instalado; mas o Aisi Helper simula o comportamento do iTunes no computador, e faz dispositivos iOS acharem que a instalação é legítima.
Com isso, é possível acessar uma loja de terceiros para baixar apps pagos gratuitamente. Infelizmente, isso também infecta o dispositivo com um malware chamado AceDeceiver, que estimula o usuário a informar seu Apple ID e senha.
Este mesmo malware foi encontrado pela Palo Alto em três aplicativos iOS diferentes, que estiveram na App Store oficial entre julho de 2015 e fevereiro de 2016. Todos alegavam ser apps de papel de parede, mas tinham um mecanismo oculto.
Quando o app era aberto, ele acessava os servidores do AceDeceiver. Se uma URL retornasse o valor 1, ele mostrava papéis de parede. Se retornasse 0, aparecia aquela mesma loja para baixar apps – e que pedia seu Apple ID no processo.
Esses apps conseguiram driblar a revisão de código-fonte da Apple porque adaptavam seu comportamento com base na região geográfica onde rodavam. O AceDeceiver só se torna malicioso quando o usuário está localizado na China.
Todos os três apps com o AceDefender foram removidos pela Apple após um alerta dos pesquisadores em fevereiro, mas a ameaça permanece.
“O ataque ainda é viável porque o ataque FairPlay MITM requer apenas que esses apps tenham estado disponíveis na App Store uma vez. Se um invasor obtiver uma cópia da autorização da Apple, o ataque não requer disponibilidade atual na App Store para disseminar apps maliciosos”, explica a Palo Alto.
Os pesquisadores recomendam que os usuários removam o Aisi Helper, mudem a senha do Apple ID, e ativem a autenticação de dois fatores.
fique por dentro das novidades giz
Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas
