App Store è più sicuro di Google Play Store? Sembra essere cosa certa. Però anche Apple si lascia sfuggire qualche applicazione malevola, di tanto in tanto. È il caso di Jekyll, malware sviluppato da un gruppo di ricercatori del Georgia Institute of Technology e approvato per la commercializzazione su App Store.
L’applicazione, comparsa su App Store lo scorso marzo, sarebbe sfuggita al controllo di Cupertino. I suoi sviluppatori spiegano che Apple non sarebbe stata in grado di distinguere parti di codice programmate per danneggiare l’utente d iPhone. Una volta installato sull’iPhone di una vittima, il software (camuffato da app per le consegne) era in grado di pubblicare tweet, inviare messaggi di posta elettronica e SMS, accedere alla rubrica indirizzi del telefono e persino indicare a Safari l’apertura di siti web insicuri. L’app, continuano a spiegare i suoi developer, poteva programmata dopo essere stata installata sul telefono, di fatto permettendo ai developer di modificarne il comportamento in maniera dinamica.
Ma non finisce qui. Jekyll conteneva infatti anche una parte di codice tramite la quale gli sviluppatori sono stati in grado di scoprire per quanto tempo i tester di Apple hanno provato l’applicazione prima di approvarla. Si tratterebbe solo di pochi secondi. Fortunatamente nessun cliente ha scaricato il software da App Store (se non i suoi creatori) prima che l’app fosse rimossa per questioni di sicurezza.
Perché lo hanno fatto. Spiega Long Lu, portavoce per il progetto:
Il messaggio che vogliamo lanciare è che ora il processo di recensione di Apple fa una analisi statica di una applicazione, che non pensiamo sia sufficiente a riconoscere logiche generate dinamicamente che potrebbero essere riconosciute facilmente.
Tom Neumayr, portavoce di Apple, ha spigato che Cupertino ha già risolto la falla indicata nel documento degli sviluppatori di Jekyll, i cui dettagli non son operò noti. Non è stato invece fatto alcun commento sul processo di recensione dell’App Store.
[via]
laurentio86 19/08/2013 il 02:33
Sandboxing miseramente fallito?