Claudio Tamburrino

iTunes e il giorno dell'insicurezza

Il 4 luglio ha visto lo store della Mela vittima di uno sviluppatore malintenzionato. Gonfiate le vendite di un rivenditore, forse coinvolte le carte di credito di alcuni utenti

Roma - Il Giorno dell'Indipendenza degli Stati Uniti non è stato un giorno di festa per la sicurezza della Rete: oltre all'attacco a YouTube presumibilmente condotto dagli utenti di 4chan, strani episodi si sono verificati anche nel giardino recintato di Apple, iTunes.

Il negozio digitale su cui vigila l'occhio di Cupertino, infatti, ha assistito nella giornata di festa alla scalata della sua classifica dei 50 libri più venduti da parte di ben 40-42 titoli di un sviluppatore di applicazioni vietnamita identificato come Thuat Nguyen, prima relegato nell'anonimato della bassa classifica di iTunes.
Il fatto ha subito attirato sospetti sulla famigerata sicurezza dell'ambiente Apple, sempre pronta (finora) a cancellare eventuali acquisti non autorizzati (o anche erronei).

La situazione, che all'inizio sembrava riguardare semplicemente uno sviluppatore in grado di gonfiare le sue vendite, è tuttavia ben presto apparsa ben più pericolosa, arrivando a coinvolgere le carte di credito degli utenti che al negozio digitale di Cupertino hanno affidato i loro dati personali: a scatenare l'allarme, almeno una testimonianza di un utente che dal forum di MacRumors parlava di un addebito di oltre di 558 dollari sulla sua carta di credito per oltre 10 transazioni da lui non effettuate. Con il passare delle ore, poi, sono aumentate le testimonianze di presunte vittime. Inoltre le spese non sarebbero state solo a favore dello sviluppatore incriminato. Dietro l'attacco sembra ora celarsi un cracker asiatico che avrebbe sfruttato alcune applicazioni fasulle.
Cupertino ha già provveduto a rimuovere l'account dello sviluppatore coinvolto e i suoi libri da iTunes. Per il resto, ancora non ha commentato a riguardo.

Il consiglio per gli utenti è di monitorare le ultime operazioni della propria carta di credito e di cambiare password.Gli utenti coinvolti non sarebbero solo statunitensi, ma anche europei.

Claudio Tamburrino
Notizie collegate
  • SicurezzaAndroid Market, troppe le app sospetteUna ricerca evidenzia i rischi connessi alla openness voluta da Google per l'Android Market. Chiunque può offrire la propria applicazione, e non di rado si tratta di codice potenzialmente pericoloso per l'utente
  • SicurezzaAT&T pasticcia col web e gli iPadUna funzione del sito della telco sfruttata da un gruppo di hacker per recuperare migliaia di indirizzi di posta. Tutti acquirenti della tavoletta di Apple. Tra loro anche membri del governo e dell'esercito
309 Commenti alla Notizia iTunes e il giorno dell'insicurezza
Ordina
  • e rincariamo la dose valà:

    http://www.gizmodo.it/2010/07/06/apple-nel-mirino-...

    apple che clona m$ ??? che tristezza...
    non+autenticato
  • Non vedo il rincaro della dose.

    Usi gizmodo come fonte? C'è di meglio ormai.
    non+autenticato
  • sarebbe interessante un articolo in cui
    si analizza il motivo di questo attacco mediatico
    massivo ai danni di Apple.

    oops, PI stesso sta perpetrando questo attacco
    dando eco solo ad alcune fonti
    non+autenticato
  • - Scritto da: bertuccia
    > sarebbe interessante un articolo in cui
    > si analizza il motivo di questo attacco mediatico
    > massivo ai danni di Apple.
    >
    > oops, PI stesso sta perpetrando questo attacco
    > dando eco solo ad alcune fonti
    Io proporrei alla redazione un bel pranzo a base delle fette di salame sui tuoi occhi:ce ne sono talmente tante che ci puoi sfamare noi e la concorrenza per almeno 2 settimane.
    non+autenticato
  • Se invece fosse un pranzo a base di superficialità e luoghi comuni ci hai fatto la scorta per qualche lustro.
    non+autenticato
  • - Scritto da: Livio
    > Se invece fosse un pranzo a base di
    > superficialità e luoghi comuni ci hai fatto la
    > scorta per qualche
    > lustro.
    se invece fosse,ma non lo è.
    non+autenticato
  • Esatto non è un pranzo, ma la scorta ce l'ha fatta eccome.
    non+autenticato
  • Chi avra' interesse in tutto cio' ?

    1. Gli alieni ?
    2. Bin Laden ?
    3 I testimoni di Geova ?
    4 Microsoft
    5 Quelo
    6 Goggle
    7 I comunisti ?
    8 Nokia
    9 PI
    non+autenticato
  • - Scritto da: bertuccia
    > sarebbe interessante un articolo in cui
    > si analizza il motivo di questo attacco mediatico
    > massivo ai danni di Apple.
    >
    > oops, PI stesso sta perpetrando questo attacco
    > dando eco solo ad alcune fonti

    Evidentemente ti sei perso la saga di articoli di PI della serie: "Linux sotto attacco".
    Quando compaiono quegli articoli, noi utenti Linux siamo costretti a nasconderci per una settimana.

    Adesso è il turno dei fans di "Stiv Giobs".

    Sulle magagne di Windows non pubblicano più nulla visto che è come sparare sulla Croce Rossa; infatti, Dovella è rimasto disoccupato ed ora è alla disperata ricerca di altri forum dove si parla male di Seven.
    non+autenticato
  • Ti nascondi per nulla? Ma non ne vale la pena.
    non+autenticato
  • hai ragione, vieni fuori e trolla come Livio, tanto non lo batterai mai
    non+autenticato
  • - Scritto da: bertuccia
    > sarebbe interessante un articolo in cui
    > si analizza il motivo di questo attacco mediatico
    > massivo ai danni di Apple.
    >
    > oops, PI stesso sta perpetrando questo attacco
    > dando eco solo ad alcune fonti

    PI fa parte del partito dell'odio, ecco il motivo.
    Non danno notizie vere, è tutto gonfiato. E anche se fossero vere perché non fanno i ruffiani come tutti gli altri allineati al servizio del potere?
    Ubunto
    1350
  • E la cospirazione aliena e l'uomo della sigaretta, dove li lasci?
    non+autenticato
  • imho bisogna aspettare un paio di giorni e lasciare il tempo agli analisti di controllare codice e log prima di sparare sul phishing o altro.. qualunque cosa sia successa è indubbio che un controllo piu accurato ed una maggior propensione all'open source favorirebbero policy di sicurezza piu adeguate e meno rischi per l'utenza..
  • - Scritto da: lordream
    > imho bisogna aspettare un paio di giorni e
    > lasciare il tempo agli analisti di controllare
    > codice e log prima di sparare sul phishing o
    > altro.. qualunque cosa sia successa è indubbio
    > che un controllo piu accurato ed una maggior
    > propensione all'open source favorirebbero policy
    > di sicurezza piu adeguate e meno rischi per
    > l'utenza..

    Se si tratta di uno che ha pensato fare la furbata pensando che non venisse scoperto, qui l'open source non c'azzecca molto.
    non+autenticato
  • - Scritto da: lordream
    >
    > una maggior
    > propensione all'open source favorirebbero policy
    > di sicurezza piu adeguate e meno rischi per
    > l'utenza..

    ma fammi il piacere.

    ok la prima parte dove dici che ci va più controllo.

    ma questo è codice compilato con i tool e le librerie di apple.
    ci mettono niente a disassemblare e guardarlo come se fosse opensource, e se cerchi di offuscare in qualche modo ovviamente ti tiri solo la zappa sui piedi.

    se fosse stato open il problema si poneva alla stessa identica maniera
    non+autenticato
  • - Scritto da: bertuccia
    > - Scritto da: lordream
    > >
    > > una maggior
    > > propensione all'open source favorirebbero policy
    > > di sicurezza piu adeguate e meno rischi per
    > > l'utenza..
    >
    > ma fammi il piacere.
    >
    > ok la prima parte dove dici che ci va più
    > controllo.
    >
    > ma questo è codice compilato con i tool e le
    > librerie di
    > apple.
    > ci mettono niente a disassemblare e guardarlo
    > come se fosse opensource, e se cerchi di
    > offuscare in qualche modo ovviamente ti tiri solo
    > la zappa sui
    > piedi.

    si ma chi lo farebbe visto che non puo vedere il codice nativo e non hai una comunità come quella open source dietro?.. la comunità degli applefan? che tutto sono meno che alfabetizzati informaticamente?

    >
    > se fosse stato open il problema si poneva alla
    > stessa identica
    > maniera

    se il tutto fosse open source il problema non sussisterebbe e coi repository come quelli di debian la sicurezza sarebbe molto elevata sia per il sistema che per gli utenti
  • - Scritto da: lordream

    > si ma chi lo farebbe visto che non puo vedere il
    > codice nativo e non hai una comunità come quella
    > open source dietro?.. la comunità degli applefan?
    > che tutto sono meno che alfabetizzati
    > informaticamente?
    >

    Chi deve controllare?
    Certo che c'è gente che riesce ad infgilare l'open source pure nel panino al salame pu di riempirsi la bocca.


    > >
    > > se fosse stato open il problema si poneva alla
    > > stessa identica
    > > maniera
    >
    > se il tutto fosse open source il problema non
    > sussisterebbe e coi repository come quelli di
    > debian la sicurezza sarebbe molto elevata sia per
    > il sistema che per gli
    > utenti

    Ancora tutto da dimostrare immagino o abbiamo degli studi in merito a questo tema?
    non+autenticato
  • - Scritto da: Livio
    > - Scritto da: lordream
    >
    > > si ma chi lo farebbe visto che non puo vedere il
    > > codice nativo e non hai una comunità come quella
    > > open source dietro?.. la comunità degli
    > applefan?
    > > che tutto sono meno che alfabetizzati
    > > informaticamente?
    > >
    >
    > Chi deve controllare?
    > Certo che c'è gente che riesce ad infgilare
    > l'open source pure nel panino al salame pu di
    > riempirsi la
    > bocca.

    se non sai di che parlo non ci sta il bisogno che lo fai notare rispondendo a caso eh.. basta dire non ho capito una singola parola di quello che hai scritto e io te lo spiego di nuovo con parole piu semplici..

    >
    >
    > > >
    > > > se fosse stato open il problema si poneva alla
    > > > stessa identica
    > > > maniera
    > >
    > > se il tutto fosse open source il problema non
    > > sussisterebbe e coi repository come quelli di
    > > debian la sicurezza sarebbe molto elevata sia
    > per
    > > il sistema che per gli
    > > utenti
    >
    > Ancora tutto da dimostrare immagino o abbiamo
    > degli studi in merito a questo
    > tema?

    humm.. ok non sai cosa sono i repository e non sai cosa sono i repository debian.. se mi chiedi gentilmente di spiegartelo posso farlo.. basta chiedere..


    tu devi vendere il pesce e basta.. quello lo sai fare (cit da telefonata ai fratelli capone)
  • Se per ingannare il tempo scrivi le prime cose che ti transicano nella scatola cranica, perché non vai a farlo in altri lidi a te più consoni?
    non+autenticato
  • non mi va
  • Per quanto ho appreso, gli utenti sono state vittime dell'ormai famoso Phishing ( http://it.wikipedia.org/wiki/Phishing ); fenomeno che purtroppo è diventato molto frequente.
    Le aziende più colpite sono PayPal, eBay, CartaSI, (microsoft (MSN) Poste Italiane, le Banche etc...

    Apple, come nessuna delle aziende/enti sopra citati sono colpevoli, purtroppo la causa è da imputare all'ignoranza dell'utente medio.

    Ignoranza su cui purtroppo è molto difficile intervenire.
    non+autenticato
  • certo e invece quando l'utonto windows clicca avanti avanti avanti la colpa non è dell'utonto ma di windows, eh?
    non+autenticato
  • Sai cosa é il fishing, vero ?
    non+autenticato
  • - Scritto da: Innovatore
    > Sai cosa é il fishing, vero ?

    no, una tecnica di pesca?
    non+autenticato
  • - Scritto da: Innovatore
    > Sai cosa é il fishing, vero ?
    Ma che domande fai? E' chiaro che non lo sa.
    non+autenticato
  • - Scritto da: Innovatore
    > Sai cosa é il fishing, vero ?
    fishing???
    non+autenticato
  • Pignoli: PHISHING Annoiato

    Sai cosa é ?
    non+autenticato
  • pignoli? ma se non sai nemmeno come si scrive vuoi venire a fare la predica a me?
    non+autenticato
  • Vi sto che non mi rispondi :

    http://it.wikipedia.org/wiki/Phishing

    Cosi ora IO cerchero' di stare piu' attento alle mie dita e TU impari il significato di quella parola che tu non avrai MAI sbagliato a scrivere


    PS: http://punto-informatico.it/policy.asp , sempre utile Occhiolino
    non+autenticato
  • NIente, non riesco . ho le dita ballerine . Se ti va é cosi altrimenti é cosi A bocca aperta
    non+autenticato
  • Quello che forse nessuno ha fatto notare finora è che il tutto non è avvenuto hackerando i server iTunes o altro, ma semplicemente mettendo nell'AppStore delle applicazioni di phishing, che hanno raccolto dati per qualche mese e poi sono state sfruttate contemporaneamente lo stesso giorno.

    http://thenextweb.com/apple/2010/07/04/appstore-ha.../

    Esattamente lo scenario che ho prospettato diversi mesi fa quando si criticava il modello di "non controllo" dell'Android Store. Io l'avevo ipotizzato con le banche, ma la situazione è la stessa.

    E questo prova che il controllo di Apple non serve a niente.

    Bye.
    Shu
    1232
  • - Scritto da: Shu
    > Quello che forse nessuno ha fatto notare finora è
    > che il tutto non è avvenuto hackerando i server
    > iTunes o altro, ma semplicemente mettendo
    > nell'AppStore delle applicazioni di phishing, che
    > hanno raccolto dati per qualche mese e poi sono
    > state sfruttate contemporaneamente lo stesso
    > giorno.
    >
    > http://thenextweb.com/apple/2010/07/04/appstore-ha
    >
    > Esattamente lo scenario che ho prospettato
    > diversi mesi fa quando si criticava il modello di
    > "non controllo" dell'Android Store. Io l'avevo
    > ipotizzato con le banche, ma la situazione è la
    > stessa.
    >
    > E questo prova che il controllo di Apple non
    > serve a
    > niente.
    >
    > Bye.

    basta creare (per puro esempio) un applicazione chiamata Banca lntesa. notare la L minuscola all'inizio della seconda parola. chi la scarica potrebbe fidarsi, inserire i propri codici... controlli o meno, o ti metti persone che conoscono ogni cosa di ogni paese in ogni lingua a controllare ogni applicazione o è inutile
    non+autenticato
  • - Scritto da: Shu

    > Esattamente lo scenario che ho prospettato
    > diversi mesi fa quando si criticava il modello di
    > "non controllo" dell'Android Store. Io l'avevo
    > ipotizzato con le banche, ma la situazione è la
    > stessa.
    >
    > E questo prova che il controllo di Apple non
    > serve a niente.

    La differenza, oggettiva, è che in questo modo appena qualcuno si accorge che un'applicazione ha qualcosa che non va questa viene tolta dalla circolazione. Se la circolazione è libera l'applicazione continuerà ad imperversare. E siccome ti devi sempre affidare ad una fonte sicura per controllare se le applicazioni che installi non siano pericolose, questa fonte sicura diventa un software anti-malaware.

    Nota: non sono qui per difendere le scelte di Apple, che potrebbero anche non piacere a me.
    FDG
    10910
  • E soprattutto hanno eliminato l'account dello sviluppatore disonesto rimuovendo de facto tutte le sue app o meglio i suoi book
    non+autenticato
  • - Scritto da: Shu


    >
    > E questo prova che il controllo di Apple non
    > serve a
    > niente.
    >

    falso, prova semplicemente che un controllo può limitare i danni rispetto ad una situazione di totale assenza di controllo.
    non+autenticato
  • - Scritto da: Shu
    > Quello che forse nessuno ha fatto notare finora è
    > che il tutto non è avvenuto hackerando i server
    > iTunes o altro, ma semplicemente mettendo
    > nell'AppStore delle applicazioni di phishing, che
    > hanno raccolto dati per qualche mese e poi sono
    > state sfruttate contemporaneamente lo stesso
    > giorno.

    E quale sarebbe, o quali sarebbero, queste applicazioni?

    >
    > http://thenextweb.com/apple/2010/07/04/appstore-ha
    >
    > Esattamente lo scenario che ho prospettato
    > diversi mesi fa quando si criticava il modello di
    > "non controllo" dell'Android Store. Io l'avevo
    > ipotizzato con le banche, ma la situazione è la
    > stessa.
    >
    > E questo prova che il controllo di Apple non
    > serve a
    > niente.
    >
    > Bye.

    Per ora stai parlando di aria fritta.
    ruppolo
    33147
  • Ma non si trattava di book?
    non+autenticato
  • - Scritto da: Livio
    > Ma non si trattava di book?

    Appunto, quindi mi piacerebbe sapere come fa il book a fare phishing...
    ruppolo
    33147
  • Concordo
    non+autenticato
  • già sono talmente idiota che concordo anche io
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)