Claudio Tamburrino

iPhone, Citibank e la cassaforte col buco

L'applicazione bancaria aveva una vulnerabilitÓ che non tutelava completamente i dati sensibili dei suoi utenti. Corretta con l'ultimo aggiornamento

Roma - Citigroup ha annunciato che Citibank, la sua applicazione bancaria per iPhone che attualmente è all'undicesimo posto fra le più scaricate di App Store, soffriva di una vulnerabilità che minacciava la sicurezza delle informazioni bancarie dei suoi utenti.

In pratica, by design, l'applicazione manteneva i dati bancari dell'utente in un file (non criptato) nascosto ma accessibile su iPhone. In caso di sincronizzazione su fisso, inoltre, tali informazioni bancarie sarebbe state salvate anche sul computer utilizzato. Questo comportava, per esempio in caso di jailbreak o di perdita del melafonino, la possibilità di veder i propri dati bancari finire nelle mani di malintenzionati.

Un aggiornamento, versione 2.0.3, rilasciato il 19 luglio attraverso iTunes App Store dovrebbe aver corretto il problema e dovrebbe cancellare anche i file finora salvati.
Il 20 luglio i suoi utenti sono stati informati del problema e avvisati dell'urgenza dell'update. Nessuno dei quasi 118 mila utenti dell'applicazione sembra essere rimasto vittima della vulnerabilità.

L'applicazione utilizza in parte codice sviluppato direttamente da Citibank e in parte codice fornito da mFoundry, azienda di mobile banking con sede in California, che dichiara che nessuno dei suoi altri clienti è stato vittima di tale vulnerabilità.

Ulteriori dettagli (da quanto era noto il difetto o quanto tempo ha impiegato l'aggiornamento a passare nelle maglie di App Store) non sono disponibili. L'unica informazione aggiuntiva riguarda l'incolumità rispetto al problema delle analoghe applicazioni sviluppate per altre piattaforme: a essere coinvolti, solo gli utenti dotati di iPhone.

Claudio Tamburrino
Notizie collegate
14 Commenti alla Notizia iPhone, Citibank e la cassaforte col buco
Ordina
  • e io che per una semplice applicazione web su intranet faccio un trigger per cifrare con chiave asimmetrica i dati, si trovano i tutorial in rete.
    non+autenticato
  • Eh palle,ma una App che fa girare il grano non è supercontrollata?

    Se Apple fa passare dal suo store tutte le App ne dovrebbe garantire la sicurezza,specie se l'App non è un giochino o altre banalità.
    In ogni caso tutte le App andrebbero monitorate per quello che scrivono e comunicano all'esterno,grave.
    non+autenticato
  • E secondo te ad Apple interessa se la Banca Pincopalla butta fuori un'app che ti scrive un file temporaneo non criptato ?

    Sono razzi di chi ha sviluppato l'app garantirne il buon funzionamento, Apple controlla che l'app faccia quello che dice di fare, che usi le risorse del device in maniera accettabile, che rispetti i copyright.

    Ma capisco che ultimamente lo sport nazionale qui dentro é dar contro ad Apple anche quando , come il questo caso , Apple non c'entra assolutamente nulla.
    non+autenticato
  • Ho sentito di uno che ha usato l'iPhone come oggetto contundente; io farei una class action contro Apple: che metta gli spigoli, altrimenti come cavolo fa a contundere? Non pensano a queste cose?
    non+autenticato
  • Qui lo sport nazionale è che, pur rappresentando apple una fetta complessivamente piccola del maercato IT e di quel che ci gira attorno, sembra che sia il principale attore da tutti i punti di vista.
    Diciamo che è oggetto consapevole, e vuole esserlo, di una bolla mediatico-tecnologica, e come tutte le bolle rischia di fare ploff. Anche se Stefano ha messo da parte un bel po' di soldini.
    non+autenticato
  • Nel momento in cui un qualsiasi applicativo ti permette di memorizzare dati sensibili senza chiederti una password o similare, da qualche parte nella memoria di massa del dispositivo che state usando c'è scritto in chiaro il dato stesso. Cifrare l'informazione senza fornire una chiave esterna (come una password) ha efficacia pressochè nulla, in quanto la chiave di tale cifratura sarà necessariamente memorizzata nel dispositivo stesso, sia essa sotto forma di file o hardcoded nell'eseguibile. In ogni caso, recuperabile.

    Questo vale per i browser, il programma di posta, di home banking e via discorrendo. La leggerezza del programmatore pertanto non è la presenza di informazioni sul dispositivo, ma il non esigere una password per cifrarle.
    non+autenticato
  • Ma le app, prima di andare su App store, non passano al vaglio di Apple? E che controllo fanno? Un'app bancaria che memoriza dati bancari su un file NON criptato e che viene copiato su Computer, senza dire nulla all'utente, viene tranquillamente pubblicata?

    Bha....
    non+autenticato
  • Ta taaaaaa !
    non+autenticato
  • Bhe dai, non mi dire che anche questo per te è accettabilissimo?? Voglio dire, ingenuo il programmatore e ingenuo chi dovrebbe controllare o per te non è così? Anche in questo non ci vedi nessuna superficialità da parte di nessuno??
    non+autenticato
  • - Scritto da: Ma dai...
    > Bhe dai, non mi dire che anche questo per te è
    > accettabilissimo??

    No, se prendo il programmatore di quella app lo prendo a calci nel culo

    > Voglio dire, ingenuo il
    > programmatore e ingenuo chi dovrebbe controllare
    > o per te non è così?

    Ni, se prendo il programmatore di quella applo prendo a calci nel culo


    > Anche in questo non ci vedi
    > nessuna superficialità da parte di
    > nessuno??

    Si, se prendo il programmatore di quella app lo prendo a calci nel culo

    Secondo te Apple apre tutti gli eventuali file temporanei creati dalle sue oltre 200000 apps presenti solo per vedere cosa c'é scritto dentro ?

    Son mica come noi che abbiamo un razzo da fare tutto il giorno.
    non+autenticato
  • Apple controlla solo il porno.
    Giustamente, le altre app non sono così interessanti da controllare.
    non+autenticato
  • - Scritto da: La redazione si riserva di cancellare

    > Apple controlla solo il porno.

    E' Jobs che si occupa personalmente di giudicare la qualità del porno... pardon, di verificare se si tratta di materiale pornografico?Occhiolino
    FDG
    11017
  • - Scritto da: Ma dai...

    > Ma le app, prima di andare su App store, non
    > passano al vaglio di Apple? E che controllo
    > fanno? Un'app bancaria che memoriza dati bancari
    > su un file NON criptato e che viene copiato su
    > Computer, senza dire nulla all'utente, viene
    > tranquillamente pubblicata?

    Da nessuna parte c'è scritto che Apple si prende in carico l'onere di fare il debugging della tua applicazione. Apple verifica solo che l'applicazione parta e non crei casini nel telefono.

    Edit: e controlla che faccia ciò che dichiara di fare, cioè non sia uno spy sotto mentite spoglie.
    -----------------------------------------------------------
    Modificato dall' autore il 28 luglio 2010 14.33
    -----------------------------------------------------------
    FDG
    11017
  • Che non linki siti porno, perchè Stefano pensa anche alla morale tua e della tua prole.
    non+autenticato