Una serie di falle 0-day mette seriamente a rischio la sicurezza dell’ecosistema Apple, la corporation americana era stata avvertita da mesi del problema e ora, senza alcuna patch risolutiva in vista, i ricercatori che hanno scoperto le falle si sono decisi a rendere pubblici i dettagli .
Le vulnerabilità individuate nel software Apple, e in particolare nel servizio Keychain di OS X (ma anche 9) per la gestione personalizzata di password, certificati e altre informazioni particolarmente sensibili, potrebbero garantire a un malintenzionato l’accesso ai dati dell’utente con la totale disfatta dei controlli di sicurezza.
Le falle 0-day sono infatti talmente pericolose da mettere fuori gioco la sandbox in cui girano le app per OS X, e permettono persino di installare una app malevola su iOS nonostante i meccanismi di controllo remoto adottati da Cupertino per il giardino recintato del suo sistema mobile.
Il problema ha conseguenze “tremende”, dicono i ricercatori, che nei loro test hanno identificato un 88,6 per cento delle app per OS X (su 1612) e 200 app iOS “totalmente esposte” a un possibile accesso “cross-app” non autorizzato alle risorse (XARA) con potenziale furto di password, certificati, credenziali di accesso agli account bancari e via elencando.
E Apple? Apple era conoscenza dell’esistenza delle vulnerabilità dall’ottobre del 2014, e tuttavia la corporation non si è ancora mossa per chiudere i buchi scoperti dai ricercatori. Una correzione non da poco, se si considera che il team di sicurezza di Chromium (Google) è stato costretto a rimuovere l’integrazione di Keychain nel browser Chrome per l’impossibilità di risolvere la cosa a livello di applicazione.
Alfonso Maruccia
Ti potrebbe interessare
18 giu 2015