Alfonso Maruccia

Su iOS il phishing è nativo

Un ricercatore identifica un pericoloso bug all'interno del client email di iOS, avvertendo Apple del problema. Cupertino lo ignora e il ricercatore decide di pubblicare il codice per sfruttarlo

Roma - Il client email nativo di iOS (8.3) è affetto da una pericolosa vulnerabilità di sicurezza, un bug che potrebbe permettere a un malintenzionato di condurre una campagna di phishing "a colpo sicuro" con la compromissione di password e credenziali di accesso all'ecosistema blindato di Cupertino.


La falla, dice il ricercatore che l'ha scoperta, è stata identificata a gennaio 2015 e ne è stata prontamente comunicata l'esistenza a Apple; a tutt'oggi, però, la vulnerabilità è ancora presente su iOS, e ora chiunque può consultare il codice di un "exploit kit" in grado di sfruttarla per rubare le password degli utenti.

Il baco consiste nel caricamento di codice HTML da remoto durante la visualizzazione di una email nel client di iOS, una possibilità che non dovrebbe esistere e che permette, grazie all'uso del kit di cui sopra, di realizzare una funzionalità "raccogli-password" mascherata da pop-up di accesso a iCloud simile a quello legittimo.
Il ricercatore evidenzia la pericolosità del baco nell'ottica di campagne di phishing mirate contro gli utenti di iOS e dei gadget mobile di Apple, uno strumento malevolo potenzialmente più efficace delle tradizionali email spazzatura con form integrato e più facilmente adattabile in "tempo reale" alle nuove esigenze dei cyber-criminali.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAncora un buco in iOS?Con un apposita app si possono carpire informazioni da un iPhone o un iPad, senza che l'utente si accorga di nulla. Ma il problema sicurezza non riguarda solo Apple. Che pure è al momento nell'occhio del ciclone
25 Commenti alla Notizia Su iOS il phishing è nativo
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)