Alfonso Maruccia

FREAK, vulnerabili anche le app mobile

La saga FREAK continua con l'avvistamento della vulnerabilitÓ sulle app per smartphone. Il rischio Ŕ la compromissione di comunicazioni di dati finanziari, biometrici o comunque sensibili

Roma - Col passare dei giorni aumenta la consapevolezza riguardo all'esposizione dei gadget tecnologici ai pericoli di FREAK, l'attacco capace di sfruttare una vulnerabilità nel protocollo SSL per forzare l'utilizzo di chiavi crittografiche deboli e facilmente crackabili. Il rischio di compromissione riguarda anche le app mobile più popolari, ha avvertito FireEye.

I ricercatori hanno preso in esame le app Android e iOS più popolari, dove "popolare" equivale ad aver raccolto più di un 1 milione di download: in tutto, l'analisi ha riguardato circa 11mila app su Google Play e più di 14mila app per iOS.

Nel primo caso, sostiene la security enterprise, le app identificate come vulnerabili all'attacco FREAK sono 1228, con la vulnerabilità derivante o dall'uso di una versione fallata della libreria OpenSSL o dalle comunicazioni con un server HTTPS affetto dal baco.
Per quanto riguarda iOS, invece, le app vulnerabili sono state 771: sui gadget Apple la fonte del problema è l'uso di una versione dell'OS non aggiornata, e in sette casi le app sono risultate vulnerabili anche dopo l'aggiornamento a iOS 8.2 sempre a causa dell'utilizzo di un componente OpenSSL non aggiornato.

FireEye disegna scenari preoccupanti per le possibili conseguenze dell'utilizzo delle app vulnerabili a FREAK: un malintenzionato potrebbe approntare un attacco di tipo man-in-the-middle (tramite spoofing o DNS hijacking) intercettando il traffico cifrato fra la app del client e il server.

Una volta registrate le comunicazioni criptate con le chiavi deboli, avverte FireEye, ci sarà tutto il tempo per decifrare i dati in differita. A rischio sono quindi informazioni finanziarie, sulla salute e altre tipologie di dati sensibili.

Alfonso Maruccia
Notizie collegate
  • TecnologiaL'insicurezza nelle comunicazioni sicureMicrosoft rilascia in tutta fretta un aggiornamento pensato per revocare un certificato SSL compromesso, mentre le aziende IT continuano a fare i conti con gli attacchi FREAK. Anche OpenSSL corregge bachi, quali ancora non si sa.