2013/08/17

Malware passa processo de Verificação da App Store


Já sabemos que o processo de aprovação da App Store da Apple é algo que... ninguém compreende muito bem, mas que a maioria dos utilizadores aceita como sendo essencial para garantir a segurança das apps que podem instalar nos seus iPhone e iPads. Mas, a verdade é que essa sensação de segurança poderá não passar de uma ilusão, que apenas coloca os utilizadores ainda mais em risco do que se estivessem conscientes de que as apps que por lá estão podem ser tão maliciosas como uma "app store" aberta a todos.

Foi precisamente isso que demonstraram uns investigadores, que criaram uma app com malware para determinar até que ponto o processo de verificação da Apple seria capaz de a detectar. E ao que parece, esse processo é bastante básico e falível, com a app a reportar que apenas foi executada durante alguns segundos, antes de ser aprovada.

O truque usado pela app foi o de usar blocos de código separados, aparentemente inofensivos, mas que posteriormente eram recombinados para o tornar num autêntico "monstro digital", podendo enviar emails, mensagens, tweets, tirar fotografias, roubar informação pessoa, direccionar o browser para sites com malware, e manter-se em contacto com os seus criadores, de forma a poder receber novos comandos sobre o que deveria fazer a seguir.

Desta vez, tratou-se apenas de uma experiência que foi levada a cabo com intenções benignas de verificar até que ponto é que a Apple realmente valida as apps que aprova na App Store... mas da próxima vez, poderá ser uma qualquer app criada por pessoas com outras intenções.

6 comentários:

  1. Resumindo - temos código inofensivo quando é a app é examinada na App Store para a aprovação e que é recombinado e se transforma em malware, após a app contactar o seu criador (é frequente, para completar o processo de intalação) e receber a intrução "é agora".

    Do lado do exame prévio do código, na App Store, não há nada a fazer. É impossível criar rotinas para detectar código malicioso (malware) que não existe.

    Resta desenvolver o iOS para impedir essas recombinações de código - o representante da Apple na apresentação deste caso disse que isso está a ser feito, e o controlo das apps depois de instaladas.

    A recombinação de código. Dr Jekyll - Mr. Hyde, não é um ameça só do iOS, é um problema de todos os SO, segundo os entendidos.

    ResponderEliminar
    Respostas
    1. Sim, mas o problema é aquele que eu referi. Para muitas pessoas "app store" é sinónimo de "segurança", devido ao tal processo de verificação/aprovação.

      O que é preciso é educar as pessoas para que, mesmo quando se tratam de apps supostamente vindas de sítios seguros, poderão não ser tão seguras como se pensa.

      Eliminar
    2. Vulnerabilidades hão-de aparecer sempre novas.
      Penso que esta da recombinaçâo Dr. Jekyll / Mr. Hyde é nova. Pelo menos é a primeira vez que é revelada, não se sabe se já foi explorada para qualquer sistema operativo, e se já andam por aí apps Mr. Hyde.

      É fundamental que se corrija a vulnerabilidade. Neste caso, se não poder ser através do exame prévio do código antes da aprovação da app, tem que ser o SO (leia-se, iOS, Android e os outros) a fazê-lo, tem que estar preparado para não permitir esta (nova ?) forma de malware.

      Também seria necessário que, neste caso a Apple, continuasse a controlar o "estado" das app nas mãos dos utilizadores. Quem diz Apple diz os outros. Mas para isso não havia pessoal que chegasse. Por isso é importante a recomendação que fazes para os utilizadores estarem atentos ao comportamento, anómalo, das suas aplicações - também os do iOS, que se sentem mais seguros.

      Não é a primeira vez que aparecem apps com malware no Apple Store (o que só se vem a saber depois de serem aprovadas - a diferença é que neste caso, de "laboratório", não havia malware que pudesse ser detetado antes da aprovação). No Google Play a frequência é maior, mas pelo que tenho lido os utilizadores do Android, em geral, dizem que as app do Google Play são seguras, não me parece que andem particularmente desconfiados. Das recombinações de código que criam malware onde não existia, sendo a recombinação ordenada remotamente, certamente não, porque ninguém tinha ouvido falar disso.

      Eliminar
    3. Não penso que a solução passe por limitar o OS - já que este tipo de "recombinação" de código poderá ser feito por motivos legítimos.

      O que será necessário será criar ferramentas de validação de código que façam mais do que olhar para o código "original" e se limitem a correr a app por alguns segundos.

      Por exemplo, correr a app durante bastante mais tempo, e fazer uma análise/simulação mais profunda do seu comportamento (e ter especial atenção sempre que for detectado código de "execução remota").

      Eliminar
    4. Vai dar ao mesmo. A ordem remota para a recombinação em vez de ser "agora" pode ser "amanhã".

      Eliminar
    5. Não se o processo de verificação for suficientemente inteligente para ver as opções que o programa pode tomar "no futuro" dependendo de certas condições.
      (E uma vez que as regras da Apple impedem a execução de código remoto, significa que os ingredientes já lá têm que estar todos.)

      Mas que não será coisa fácil... não.

      Eliminar