Una app maligna para iOS, diseñada para disfrazarse como buena y aceptable en el proceso de revisión de Apple y entonces rearmada para convertirse internamente en un atacante agresivo, incluso corriendo en el “arenero” (sandbox) de iOS, diseñado para aislar las apps y los datos de otros programas, acaba de ser lanzada por un equipo de investigadores del Centro de Información Tecnológica y Seguridad (GTISC, por sus siglas en inglés), con la intención de monitorear todo el proceso de aceptación de una app. Los investigadores descubrieron que Apple corrió la app por un par de segundos para finalmente aceptarla. Eso no fue de ninguna manera suficiente tiempo para que la app se convirtiera en malware. La app se llama Jekyll y en nombre hace referencia a la novela de Robert Louis Stevenson, “El extraño caso del Dr. Jekyll y el Sr. Hyde”. La historia trata de las dos personalidades dentro del Dr. Henry Jekyll: una buena pero otra, manifestada como Edward Hyde, profundamente malvada.
En el diseño de la app se hizo algo más que esconder el código ofensor bajo comportamientos legítimos. Jekyll fue dfiseñada para más tarde reubicar sus componentes para crear nuevas funciones que no podrían haber sido detectados en el proceso de revisión. “Nuestra investigación muestra que aunque la app corra en el arenero, una app tipo Jekyll puede hacer tareas maliciosas como escribir tuits, tomar fotos, mandar correos y mensajes SMS e incluso atacar a otras apps, sin el conocimiento expreso del usuario”, dice Tielei Wang, en un comunicado de prensa del pasado 31 de julio. Wang es el líder del equipo de desarrollo en GTISC.
Curiosamente varios blogs se hicieron eco de este comunicado, pero hasta que el MIT Technology Review, hizo pública la noticia, no se le prestó mucha atención. El autor de la nota en dicha publicación indica que Jekyll podría magnificar aún más sus efectos, porque puede direccionar el navegador por omisión de Apple, Safari, a un sitio donde hay más malware.
Jekyll es una forma de caballo de Troya, que se recrea, una vez descargado. Entonces manda información a los creadores (atacantes), preguntando por los comandos a ejecutar. Esto da la capacidad de generar nuevos comportamientos en la lógica de la app, los cuales no estaban cuando fue instalada.
Un esquema que se considera seguro es el del arenero, que es fundamental para la seguridad de todo el sistema operativo, el cual aísla las apps y sus datos asociados, impidiendo que se ataquen otras partes del sistema. El problema es que los atacantes en el caso de Jekyll, estaban muy bien enterados de las prohibiciones del arenero y de sus potenciales puntos ciegos, que es de donde sacan ventaja.
La app Jekyll solamente estuvo “viva” por un par de minutos en marzo pasado y no hubo víctimas que lamentar. Durante ese breve tiempo, los investigadores la instalaron en sus propios teléfonos y se atacaron a sí mismos. Entonces, borraron la app antes de que pudiese hacer mayor daño. El mensaje es claro: “Queremos decir que el proceso de revisión de Apple es en la mayoría de los casos estático y esto no es suficiente, pues con lógica generada dinámicamente, se pueden crear todo tipo de app”, indica uno de los investigadores de la app en cuestión.
El resultado de este nuevo ataque dio al documento: “Jekyll on iOS: when benign apps become evil” (Jekyll en iOS, cuando las apps benignas se vuelven diabólicas), el cual será presentado en el Simposium número 22 de Seguridad de Usenix. El artículo completo puede descargarse de este sitio.
Un vocero de Apple, Tom Neumayr, dijo que Apple ha hecho algunos cambios en su sistema operativo móvil iOS en respuesta a los problemas hallados en el proceso y anotados en el artículo de los investigadores. Sin embargo, no dio detalles del proceso de revisión de las apps.
Referencias: