Descoberta nova forma de infecção em iPhones e iPads
Pesquisadores da Proofpoint dizem que descobriram recentemente uma loja de aplicativos desonestos, que permite aos usuários de dispositivos iOS baixar aplicativos a partir de um catálogo oferecendo mais de 1 milhão de aplicativos, sem ter de "jailbreak" seu dispositivo (vulnerabilizar o dispositivo para permitir aplicativos foram da loja Apple).
Chamada vShare, a loja de aplicativos permite que sejam baixados e instalados, gratuitamente, aplicativos pagos e já existe há vários anos, permitindo que os proprietários de dispositivos Android e iPhones/iPads desbloqueados, baixar vários aplicativos.
Agora, o mercado tem encontrado uma maneira de servir os programas mesmo em dispositivos iOS que não foram vulnerabilizados, permitindo que os usuários "sideload"os aplicativos para os seus smartphones e tablets (carreguem os aplicativos de fora da loja oficial).
Especialistas em segurança de Proofpoint chamam este tipo de aplicativo de "DarkSideLoader", porque o mecanismo de carregamento do aplicativo coloca a segurança do usuário em risco e porque esses aplicativos usam APIs privadas iOS para acessar as funções do sistema operacional que estão fora dos limites para as aplicações que tenham sido controladas pela Apple para publicar na sua loja oficial de aplicativos.
"Em dispositivos iOS, instalar aplicações não aprovadas anteriormente só era possível vulnerabilizando um iPhone ou iPad (via jailbreak). No entanto, a técnica "DarkSideLoader" permite instalar aplicativos através do uso de um certificado de distribuição fraudulento ou simplesmente furtado de outro aplicativo com re-assinatura", conforme explicado em um post de blog da ProofPoint.
Enquanto os usuários do Android só precisam ativar a capacidade de "instalar aplicativos de fontes desconhecidas" no menu Configurações do seu dispositivo, o processo é mais complicado no iOS, onde os usuários não têm controle sobre essa opção em dispositivos normais. O aplicativo vShare contorna isso por ser assinado com um certificado de distribuição "Entrerprise App", emitidos pela Apple (tais certificados são geralmente emitidos para empresas que têm lojas de aplicativos internos).
Quando o usuário clica em um link para a loja de aplicativos maliciosos, o DarkSideLoader é baixado e os proprietários dos dispositivos iOS 7 e 8 são solicitados a "confiar" no fabricante ao executar o aplicativo. Depois disso, o aplicativo instala o certificado corporativo no dispositivo e é capaz de executar e instalar aplicativos adicionais no iPhone ou iPad comprometidos. De acordo com a mais recente mudança da Apple, os proprietários de dispositivos iOS 9 não serão solicitados a "confiar no fabricante", mas efetuar todo um procedimento mais burocratizado objetivando maior proteção - entretanto para garantir que os usuários executem cada etapa deste processo, o DarkSideLoader oferece informações detalhadas sobre como ele deve ser habilitado.
Os pesquisadores também alertam que esses aplicativos poderiam usar vulnerabilidades de segurança (conhecidas ou Zero-Day) para fazer obter acessos e privilégios de administrador. Além disso, podem forçar o dispositivo a se locomover pela Apple App Store, efetuando o download de aplicativos que poderiam atuar como Trojans de acesso remoto, permitindo aos crackers acesso irrestrito aos dispositivos móveis.
