Alfonso Maruccia

iOS, certe app si prestano all'intercettazione

Identificata una vulnerabilitÓ di sicurezza potenzialmente molto pericolosa che coinvolge numerose app per iOS. Un problema facile da scovare e da risolvere cambiando poche righe di codice

Roma - Un centinaio di app per iOS include una vulnerabilità nel codice di rete per la gestione delle comunicazioni cifrate su protocollo TLS, rivela il ricercatore Will Strafach, un baco potenzialmente sfruttabile per portare a segno attacchi di tipo man-in-the-middle (MITM) con la conseguente compromissione di dati sensibili tramite connessione wireless sulle reti WiFi locali.

La rivelazione di Strafach è in realtà in parte a sfondo promozionale, visto che lo sviluppatore "promuove" il servizio verify.ly che è stato appunto utilizzato per scansionare le app alla ricerca di bug: il tool è pensato per "analizzare il codice binario di una app iOS così da produrre un rapporto leggibile" da un normale essere umano, e nel caso specifico è servito a scovare problemi in 76 diverse app variamente popolari disponibili sullo store di Cupertino.

Il numero di app per cui è scattato un "allarme" di possibile intercettazione dei dati si conta nelle centinaia, spiega lo sviluppatore, ma le 76 app in oggetto contengono un bug vero e proprio che rende tale intercettazione pressoché una certezza: 43 di queste app pongono un rischio medio-alto, perché rischiano di esporre informazioni di login e autenticazione a servizi bancari, biomedicali e altro, mentre per le restanti 33 il rischio è basso con una compromissione solo parziale di dati sensibili.
In totale, le 76 app vulnerabili hanno collezionato qualcosa come 18 milioni di download senza che gli utenti fossero a conoscenza della possibile minaccia alla propria riservatezza. A peggiorare le cose c'è il fatto che il bug di gestione dei certificati TLS è relativamente facile da chiudere, e prevede la modifica di poche linee di codice sorgente.

Strafach dice di essere impegnato nel tentativo di contattare tutti gli sviluppatori per spiegare in dettaglio il problema, e consiglia ai programmatori di app di fare attenzione quando riutilizzano "pezzetti" di codice recuperato in rete i cui effetti concreti non sono in grado di capire appieno. Dal punto di vista degli utenti finali, invece, la migliore misura di sicurezza consiste nel disabilitare l'accesso al WiFi e far operare le app incriminate solo tramite rete cellulare: a quel punto i cyber-criminali dovrebbero ricorrere a strumentazioni illegali e molto più costose per compromettere i dati.

Alfonso Maruccia
Notizie collegate
92 Commenti alla Notizia iOS, certe app si prestano all'intercettazione
Ordina
  • Che stana chi non ha un cazzo da fare e chi sa tante cose Rotola dal ridereRotola dal ridere ma nessuno lo vuole. Chissà perché ?!! Rotola dal ridereRotola dal ridere
    non+autenticato
  • Il Bug sta all'informatica come il cagare sta all'uomo..... E' una cosa fisiologica.... Non c'è informatica senza bug, è impossibile creare qualcosa senza bug. Questo non toglie la qualità e la stabilità dei prodotti apple, sia sul punto di qualità HW, che materiale di costruzione che di software.
    non+autenticato
  • Ma infatti nessuno mette in discussione il Dogma APPLE = VERITA'
    Ci mancherebbe che ci si macchiasse dell'onta della blasfemia più abbietta.
    non+autenticato
  • - Scritto da: SalvatoreGx
    > Il Bug sta all'informatica come il cagare sta
    > all'uomo..... E' una cosa fisiologica.... Non c'è
    > informatica senza bug, è impossibile creare
    > qualcosa senza bug. Questo non toglie la qualità
    > e la stabilità dei prodotti apple, sia sul punto
    > di qualità HW, che materiale di costruzione che
    > di
    > software.

    Certo, certo, come vuole madama la marchese papple. Un colpo in testa mai pensato?
    non+autenticato
  • - Scritto da: Il fuddaro
    >
    > Certo, certo, come vuole madama la marchese papple

    triggerato

    il fuddaro è giaguaro?
    http://punto-informatico.it/b.aspx?i=4350390&m=435...

    "va tutto bene madama la marchesa"

    tiprego tiprego tiprego convincimi che è solo una coincidenza perchè se prima mi sembravi solo un po' sfigato ora mi fai proprio pena Rotola dal ridere
  • Ci sono più cloni jaguar-based che app del cazzo sull'apple store
    non+autenticato
  • - Scritto da: bertuccia
    > - Scritto da: Il fuddaro
    > >
    > > Certo, certo, come vuole madama
    > la marchese

    > papple
    >
    > triggerato
    >
    > il fuddaro è giaguaro?
    > http://punto-informatico.it/b.aspx?i=4350390&m=435
    >
    > "va tutto bene madama la marchesa"
    >

    >
    >
    > tiprego tiprego tiprego convincimi che è solo una
    > coincidenza perchè se prima mi sembravi solo un
    > po' sfigato ora mi fai proprio pena
    > Rotola dal ridere

    triggerato: bertuccia e' fuddaro

    http://punto-informatico.it/b.aspx?i=4369915&m=437...

    "va tutto bene madama la marchesa"
  • - Scritto da: bertuccia
    > - Scritto da: Il fuddaro
    > >
    > > Certo, certo, come vuole madama
    > la marchese

    > papple
    >
    > triggerato
    >
    > il fuddaro è giaguaro?
    > http://punto-informatico.it/b.aspx?i=4350390&m=435
    >
    > "va tutto bene madama la marchesa"
    >

    >
    >
    > tiprego tiprego tiprego convincimi che è solo una
    > coincidenza perchè se prima mi sembravi solo un
    > po' sfigato ora mi fai proprio pena
    > Rotola dal ridere

    Pensa te, io posso convincere di qualcosa un macaco, non ci provo nemmeno!

    Lascio a te farti tutti ma proprio tutti i film di fantascenza e mentali che vuoi farti.

    nb. come o sempre sostenuto non devo promuovere o vendere niente a nessuno
    su questo sito, sono solo un uomo libero di accettare o contestare quanto viene scritto qui! Sempre quando ne ho voglia, se ne ho voglia.

    Per me l'importante è non fare parte della massa dei smartphonnatti sfigati, di una delle tante fazioni avverse, questo già di suo mi fa sentire meno menomato di voi.Occhiolino
    non+autenticato
  • - Scritto da: bertuccia

    > triggerato
    >
    > il fuddaro è giaguaro?
    > http://punto-informatico.it/b.aspx?i=4350390&m=435
    >
    > "va tutto bene madama la marchesa"
    >

    Quindi dobbiamo dedurre secondo questo tuo "spettacolare trigger"
    che Paul Misraki nonchè Nunzio Filogamo Riccardo Masucci Giacomo Osella ecc. ecc..   
    https://it.wikipedia.org/wiki/Paul_Misraki
    Non erano altro che il "giaguaro" sotto mentite spoglie?
    Rotola dal ridereRotola dal ridereRotola dal ridere
    Beh se non altro abbiamo la prova di come il "reality distorsion field" fa funzionare i neuroni associati ai "triggers" macachi
    E poi si incazzano se li si prende in giro!
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Mi spiega qualcuno come si fa a non prenderli in giro per favore?
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: bertuccia
    >
    > > triggerato
    > >
    > > il fuddaro è giaguaro?
    > >
    > http://punto-informatico.it/b.aspx?i=4350390&m=435
    > >
    > > "va tutto bene madama la marchesa"
    > >

    > Quindi dobbiamo dedurre secondo questo tuo
    > "spettacolare trigger"
    >
    > che Paul Misraki nonchè
    > Nunzio Filogamo Riccardo Masucci Giacomo Osella
    > ecc. ecc..
    >
    > https://it.wikipedia.org/wiki/Paul_Misraki
    > Non erano altro che il "giaguaro" sotto mentite
    > spoglie?
    > Rotola dal ridereRotola dal ridereRotola dal ridere
    > Beh se non altro abbiamo la prova di come il
    > "reality distorsion field"
    > fa funzionare i neuroni associati ai
    > "triggers" macachi

    >
    > E poi si incazzano se li si prende in giro!
    > Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    > Mi spiega qualcuno come si fa a non prenderli in
    > giro per
    > favore?
    > Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere


    E praticamente IMPOSSIBILE!!

    Poi come due frasi che possano anche essere uguali, fanno con certezza una persona,lo sanno solo loro i macachi, se poi prendiamo che il bertuccio e pure un macaco DOP, e impossibile umanamente non ridere di tali adepti religiosi.

    Come per i testimoni di geova da tac nel cervello è impresso GEOVA, per i macachi tale parte del cervello e a forma di mela bacata.Sorride
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: bertuccia
    >
    > > triggerato
    > >
    > > il fuddaro è giaguaro?
    > >
    > http://punto-informatico.it/b.aspx?i=4350390&m=435
    > >
    > > "va tutto bene madama la marchesa"
    > >

    > Quindi dobbiamo dedurre secondo questo tuo
    > "spettacolare trigger"
    >
    > che Paul Misraki nonchè
    > Nunzio Filogamo Riccardo Masucci Giacomo Osella
    > ecc. ecc..
    >
    > https://it.wikipedia.org/wiki/Paul_Misraki
    > Non erano altro che il "giaguaro" sotto mentite
    > spoglie?

    Pensa, dandoti del fuddaro in realtà ti ha fatto un complimento.
    Poiché sei Biagio, che è MOLTO peggio.
  • - Scritto da: giaguarevol issimevolm ente
    >
    > Quindi dobbiamo dedurre

    non che mi freghi molto saperlo eh, mi ha triggerato il fatto che quell'espressione l'ho vista usare soltanto a voi due negli n-mila messaggi che ho letto su questo forum, tutto qua.. essendo che sei rosikone nell'anima e che ti piace usare nick diversi, era un'ipotesi (se leggi bene ho scritto "ti prego convincimi che è solo una coincidenza")
  • La famosissima crittogaminckia papapple di default!
    non+autenticato
  • Articolo inconsistente e anche un po' omofobo!
    non+autenticato
  • o sei ottemperante al Patriot Act o non puoi vendere uno spillo... se Apple vende tranquillamente negli USA, cosa c'è di strano?
    non+autenticato
  • - Scritto da: prova123
    > o sei ottemperante al Patriot Act o non puoi
    > vendere uno spillo... se Apple vende
    > tranquillamente negli USA, cosa c'è di
    > strano?
    Niente!
    La loro crittografia si basa sulla "matemacachica" e sulla "macacologica" (chiedere lumi al Berty che è un luminare di matemacachica e macacologica)....
    A bocca aperta
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)