O malware recém-descoberto Wirelurker, que afeta dispositivos OS X e iOS tem tido bastante repercussão. Embora este seja um incidente significativo, a Trend Micro considera que o assunto tem sido divulgado de forma excessiva e exagerada, podendo levar os usuários a entrar em pânico desnecessariamente
Por isso ela levantou alguns pontos úteis para ajudar os usuários e entender o que pode ser aprendido com essa situação:
Em primeiro lugar, o Wirelurker não é ainda uma ameaça ativa. Variantes conhecidas já foram bloqueadas pelo OS X, e os servidores de comando e controle do malware estão off-line. Isto reduz significativamente a ameaça que ele representa para os usuários. O certificado roubado que permitiu este ataque também foi revogado pela Apple, mitigando o aspecto mais complexo dessa ameaça – empurrar aplicativos para dispositivos sem jailbreak.
Em segundo lugar, nenhuma nova vulnerabilidade foi usada para espalhar o Wirelurker. Ele chegou em máquinas OS X via cavalos de Tróia e aplicativos piratas. Esses apps não oficiais têm sido um vetor privilegiado para espalhar malware há muitos anos, mas as ameaças associadas com a pirataria podem ser evitadas com a não utilização de aplicativos falsificados.
Da mesma maneira, os recursos utilizados para transferir o malware para dispositivos iOS são recursos que fazem parte da plataforma móvel da Apple. Por exemplo, o provisionamento para empresas da Apple é utilizado em ambientes corporativos para instalar aplicativos personalizados para dispositivos iOS da organização. O problema aqui foi que uma organização (aparentemente uma desenvolvedora chinesa de aplicativos móveis) perdeu o controle de seu certificado de assinatura, o que permitiu que aplicativos maliciosos fossem assinados e, portanto, parecessem confiáveis.
Em terceiro lugar, apesar do sucesso que o Wirelurker teve ao instalar aplicativos em dispositivos sem jailbreak, esses apps não eram mal-intencionados: não foi possível identificar qualquer comportamento neles que pudesse descrevê-los como maliciosos. Os aplicativos que contêm comportamento malicioso só podem ser instalados em dispositivos que já passaram previamente pelo processo de jailbreak. A Trend Micro identificou esses aplicativos como IOS_WIRELURKER.A..
Por essa razão, não é possível dizer que o Wirelurker empurrou o malware também para dispositivos afetados sem o jailbreak. A explicação para que ele tenha empurrado aplicativos indesejados para este tipo de dispositivo é um outro problema de segurança – no caso, é uma questão de controlar apps indesejados (mas não maliciosos) –, o que é essencialmente um aborrecimento, mas não um risco significativo.
Em quarto lugar, o provisionamento para empresas da Apple é um vetor de ataque conhecido contra dispositivos móveis e já tem sido assim por algum tempo. Por exemplo, no início deste ano em VB (Visual Base), houve uma demonstração de como a descrição de um backdoor pode ser instalada em um dispositivo iOS usando o provisionamento para empresas. Se a Apple não é capaz de fechar bem este aspecto do gerenciamento de dispositivos iOS, isso pode representar um problema a longo prazo.
O que o Wirelurker, de fato, demonstra, é que Macs e dispositivos iOS podem se tornar vítimas de ameaças on-line, assim como dispositivos Windows e Android são, apenas se os usuários tiverem um comportamento inadequado. A pirataria de software é encarada como um risco desde a sua descoberta. Certamente, com a exposição que essa ameaça teve, fica mais fácil identificar que cada vez mais cibercriminosos veem os aplicativos pirateados para OS X como um vetor de infecção viável e o mesmo pode ser dito para aplicativos iOS. Nenhuma plataforma de computação é "segura" se seus usuários se comportam de forma insegura.
