Alfonso Maruccia

Apple, ecosistema col buco

Un gruppo di ricercatori mette in luce l'esistenza di una serie di pericolose vulnerabilitÓ di sicurezza su OS X e iOS, due sistemi che di fatto risultano bucabili, alla mercÚ dei cyber-criminali

Roma - Una serie di falle 0-day mette seriamente a rischio la sicurezza dell'ecosistema Apple, la corporation americana era stata avvertita da mesi del problema e ora, senza alcuna patch risolutiva in vista, i ricercatori che hanno scoperto le falle si sono decisi a rendere pubblici i dettagli.

Le vulnerabilità individuate nel software Apple, e in particolare nel servizio Keychain di OS X (ma anche 9) per la gestione personalizzata di password, certificati e altre informazioni particolarmente sensibili, potrebbero garantire a un malintenzionato l'accesso ai dati dell'utente con la totale disfatta dei controlli di sicurezza.

Le falle 0-day sono infatti talmente pericolose da mettere fuori gioco la sandbox in cui girano le app per OS X, e permettono persino di installare una app malevola su iOS nonostante i meccanismi di controllo remoto adottati da Cupertino per il giardino recintato del suo sistema mobile.

Il problema ha conseguenze "tremende", dicono i ricercatori, che nei loro test hanno identificato un 88,6 per cento delle app per OS X (su 1612) e 200 app iOS "totalmente esposte" a un possibile accesso "cross-app" non autorizzato alle risorse (XARA) con potenziale furto di password, certificati, credenziali di accesso agli account bancari e via elencando.

E Apple? Apple era conoscenza dell'esistenza delle vulnerabilità dall'ottobre del 2014, e tuttavia la corporation non si è ancora mossa per chiudere i buchi scoperti dai ricercatori. Una correzione non da poco, se si considera che il team di sicurezza di Chromium (Google) è stato costretto a rimuovere l'integrazione di Keychain nel browser Chrome per l'impossibilità di risolvere la cosa a livello di applicazione.

Alfonso Maruccia
Notizie collegate
  • SicurezzaiOS, la minaccia vien dal WiFiUna falla, presentata alla RSA Conference, rende i gadget Apple potenzialmente vulnerabili a un loop di crash infinito. Ma non Ŕ tutto: migliaia di app per iOS sono a rischio spionaggio
  • SicurezzaSu iOS il phishing è nativoUn ricercatore identifica un pericoloso bug all'interno del client email di iOS, avvertendo Apple del problema. Cupertino lo ignora e il ricercatore decide di pubblicare il codice per sfruttarlo
65 Commenti alla Notizia Apple, ecosistema col buco
Ordina
  • Continuate a comprare @gli*ni, continuate HAHAHAHA.

    Loro gli i@gni*licosi li comprano a due a due perchè se li posso permettere... HAHAHAHAHAH

    6 mesi non bastano... HAHAHAH manco su segnalazione HAHAHAH, o se ne fregano o sono costretti a far finta di niente, in ogni caso continuano a vendere HAHAHAHAHHA, fatturati alle stelle: li ammiro.

    Tutta un' altra storia la clientela... il paesaggista contrattato dall' apple store li frega facile: ha il coperchio in alluminio, il display retina, la fruttina del peccato disegnata che fa figo (ammicca), e l' ignaro stacca l' assegno.

    Apple è un mito, quanto più alto il suo disprezzo per i clienti tanto più grande la devozione che ricevono in cambio dagli adepti.
    non+autenticato
  • - Scritto da: aphex_twin
    > - Scritto da: ...
    > > - Scritto da: aphex_twin
    > > > - Scritto da: anumalia
    > > > > il fatto che se è
    > > > > open riceve la patch in poche ore
    > > >
    > > > Bella questa battuta. A bocca aperta
    > >
    > > tutto solo a tenere il fronte? gli altri 3
    > > dementi? nelle retrovie a sostenere il fronte
    > > interno?
    >
    > Oggi faccio io il lavoro sporco. Sorride

    nonstante tu sia l'ultimo arrivato della quaterna-demens, ti va riconosciuto che te la cavi bene.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: aphex_twin
    > > - Scritto da: ...
    > > > - Scritto da: aphex_twin
    > > > > - Scritto da: anumalia
    > > > > > il fatto che se è
    > > > > > open riceve la patch in poche
    > ore
    >
    > > > >
    > > > > Bella questa battuta. A bocca aperta
    > > >
    > > > tutto solo a tenere il fronte? gli altri 3
    > > > dementi? nelle retrovie a sostenere il
    > fronte
    > > > interno?
    > >
    > > Oggi faccio io il lavoro sporco. Sorride
    >
    > nonstante tu sia l'ultimo arrivato della
    > quaterna-demens, ti va riconosciuto che te la
    > cavi
    > bene.

    Lui è quello che no capisce meno, per questo insiste. Il ragazzo ha delle difficoltà.
    non+autenticato
  • Insisto ? A me sembra che siano altri ad insistere nel far credere nel mondo dorato dell'open. Poi quando saltano fuori bachi decennali la colpa é sempre di qualcun'altro.

    Grazie per il "ragazzo" Sorride
  • - Scritto da: aphex_twin
    > Insisto ? A me sembra che siano altri ad
    > insistere nel far credere nel mondo dorato
    > dell'open.

    L' open fa cagher quanto il closed, il problema è: perchè pagare per il closed? Questo è un mistero.

    > Poi quando saltano fuori bachi
    > decennali la colpa é sempre di
    > qualcun'altro.

    Quando le patch le rilasciano in 24/48 dalla segnalazione è un merito, quando le patch non le rilasciano dopo 6 mesi dalla segnalazione è una vergogna, detto in modo semplice e conciso.

    Capito? Ancora no? Col tempo ce la farai ne sono sicuro.
    non+autenticato
  • - Scritto da: aphex_twin
    > Insisto ? A me sembra che siano altri ad
    > insistere nel far credere nel mondo dorato
    > dell'open.

    Open o closed non importa, i bug esistono da tempo semplicemente perché c'è l'essere umano dietro un programma,non una macchina.
    Tuttavia nell'open hai qualche possibilità in più proprio per la sua natura aperta.

    > Poi quando saltano fuori bachi
    > decennali la colpa é sempre di
    > qualcun'altro.

    In compenso di altri si sa benissimo di chi è la colpaA bocca aperta

    http://windows.hdblog.it/2014/11/12/Microsoft-corr.../

    Questa invece riguardava un pò tutti....

    http://www.zeusnews.it/n.php?c=22552
    non+autenticato
  • - Scritto da: aphex_twin
    > Insisto ? A me sembra che siano altri ad
    > insistere nel far credere nel mondo dorato
    > dell'open. Poi quando saltano fuori bachi

    si può sapere chi è che ha mai parlato del mondo dorato dell'open?

    le analisi di questo tipo si fanno usando la statistica

    c'è una società, si chiama Coverity ( me ce ne sono anche altre ), che analizzato dei codici open, dei codici closed e ci ha detto che il closed è più incline ad avere quei bug di cui parla

    è così difficile?

    tu invece appena esce un bug in un singolo software open, lo fai diventare un bug dell'intero ecosistema open

    il calcolo va fatto sulla totalità dei software, non prendono solo ed unicamente gli esempi negativi
    non+autenticato
  • p.s. e l'altra questione è che i tuoi compari maxsix, bertuccia e soci, passano le giornate a romperci gli zebedei su quanto Apple sia perfetta, su quanto i loro programmi siano invulnerabili

    ti ricordi i post con centinaia di thread, in cui maxsix sfotteva perchè il play store è aperto ( e secondo lui pieno zeppo di malware ), mentre il blindatissimo walled garden di Apple è a prova di bomba?

    bene, oggi abbiamo la conferma che il walled garden non ti può proteggere
    non+autenticato
  • - Scritto da: aphex_twin
    > Insisto ? A me sembra che siano altri ad
    > insistere nel far credere nel mondo dorato
    > dell'open. Poi quando saltano fuori bachi
    > decennali la colpa é sempre di
    > qualcun'altro.

    Un baco decennale scoperto oggi e tappato ieri conta zero.
    Un baco noto da tempo e mai tappato è cosa ben diversa.
    Ma cosa ne vuoi capire...
    Funz
    13032
  • sono "favori" all'NSA.
    non+autenticato
  • Ma OSX e iOS non erano sicuri? Newbie, inesperto

    Ma non s'era detto che Apple ci teneva alla qualità e alla sicurezza dei propri utenti? Deluso

    Ma non s'era detto falle di sicurezza erano esclusiva di cantinari? Rotola dal ridere

    Accidenti, eppure io queste cose le avevo sentite proprio qui. Imbarazzato

    Non mi direte mica che erano cose false? Fantasma

    E perché 'ste zozzerie? Arrabbiato
    non+autenticato
  • I peracottari dell' informatica. Saranno felici quei furboni di goggole ad aver comprato 40.000 postazioni dalla concorrenza, per giunta trapanatissime da tempo immemore. Ben gli sta.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)