Apple sta affrontando una difficile sfida nel tenere lontano dall’App Store le applicazioni mobile sospette e potenzialmente pericolose. Negli ultimi due mesi infatti i ricercatori hanno scoperto migliaia di app che avrebbero potuto sottrarre dati dai dispositivi iOS su cui erano installate. È vero che finora non si sono registrati casi di furti di dati, ma gli esperti di sicurezza concordano sul fatto che, volendo, sarebbe stato un gioco da ragazzi per i cyber criminali configurare le app in modo da farle diventare malevole e da procurare parecchi danno agli ignari utenti.

Naturalmente Apple ha rimosso le app incriminate dopo l’allarme lanciato dalle società di sicurezza, ma simili problemi gettano una luce non proprio favorevole nei confronti della sicurezza di App Store, da anni ritenuto una repository di applicazioni libera da malware. Da Cupertino non sono arrivate dichiarazioni ufficiali sul tema, ma è indubbio che stiamo assistendo a una nuova ondata di attacchi contro iPhone e più in generale contro iOS.

Ciò è preoccupante soprattutto per le aziende che tengono all’interno dei dispositivi mobile dei loro dipendenti password e importanti dati aziendali. Ed è preoccupante anche perché, nonostante il lento e attento processo di revisione delle app che Apple ha da sempre adottato, gli hacker stanno cercando modalità sempre nuove e ingegnose per infiltrarsi nei canali dell’App Store e si tratta per lo più di hacker cinesi.

Alcuni giorni fa FireEye ha infatti scoperto ben 2.800 app nell’app Store cinese e statunitense che contenevano un codice potenzialmente malevolo sotto forma di ad library (mobiSage SDK). Questa libreria è stata sviluppata dalla compagnia cinese adSage e inserita nelle app direttamente dagli sviluppatori, forse ignari della sua potenziale capacità di sottrarre dati.

Tramite uno schema denominato iBackDoor questa libreria è infatti in grado di caricare JavaScript da un server remoto e, potenzialmente, sarebbe possibile catturare schermate, audio o monitorare la posizione del dispositivo colpito. AdSage, che non ha rilasciato commenti in proposito, ha comunque aggiornato l’SDK di mobiSage eliminando queste falle potenzialmente pericolose.

La domanda che tutti si sono fatti è come sia stato possibile che queste app siano potute sbarcare sull’App Store 

Quello di ADSage non è comunque l’unico caso del genere. A metà settembre infatti Palo Alto Networks ha scoperto 39 app che contenevano una versione modificata di Xcode, lo strumento di sviluppo di Apple per le applicazioni. Questa versione, denominata XcodeGhost, poteva aggiungere codice malevolo alle app e pochi giorni dopo Appthority scopriva ben 476 infettate con XcodeGhost. Dopodiché è stata la volta di FireEye, che ha individuato addirittura 4000 app contenenti codice XcodeGhost.

La domanda che tutti si sono fatti è come sia stato possibile che queste app siano potute sbarcare sull’App Store e superare i controlli di sicurezza di Apple. Secondo l’esperto di iOS David Richardson spesso è molto difficile capire immediatamente l’intento di un’app, anche perché molti degli elementi presenti in XcodeGhost e in mobiSage SDK non sono molto diversi dalle tecnologie utilizzate da piattaforme di analisi dati autorizzate da Apple.

Se però nel caso di mobiSage SDK la libreria di advertising non fa nulla di male in sé (ed è per questo che inizialmente Apple non ha ravvisato alcun pericolo), era chiaro fin da subito che la versione malevola di Xcode non provenisse da Apple e questo fatto è ben più grave. D’altronde nessuno, dall’esterno, sa esattamente come avvengano i controlli di Apple quando si tratta di autorizzare un’applicazione per l’App Store.

Di solito si mettono in pratica due metodi per il controllo del codice di un’app. Il controllo statico controlla una per una le linee del codice, mentre l’analisi dinamica osserva il comportamento e il funzionamento dell’app. Peccato che gli sviluppatori di malware stiano utilizzando già da molto tempo tecniche particolari in modo da evadere i controlli del codice e le scansioni di sicurezza.