Una bizzarra vulnerabilità , individuata nei file di configurazione ( .plist ) di certe applicazioni mobile, sta gettando scompiglio nel mondo iOS e in quello del rivale Android. Il problema di sicurezza sembrava inizialmente confinato all’applicativo di Facebook, utilizzato con dispositivi dal firmware sbloccato, ma nelle ultime ore sono emersi nuovi e inquietanti particolari.
Il ricercatore di sicurezza Gareth Wright è stato il primo a dare l’allarme, rivelando che l’app Facebook memorizza le informazioni personali con i parametri di accesso in semplice formato testo, piuttosto che utilizzare la crittografia, e che il file non sarebbe assolutamente protetto. La replica del noto social network lascia intendere che serve comunque un dispositivo aperto dal “jailbreak” per arrivare a prelevare queste informazioni.
In realtà, Wright dichiara di aver tranquillamente raggiunto, copiato e letto il file .plist salvato sul suo iPad non sbloccato, utilizzando un programma per computer come iExplorer ad un livello superficiale. Anche i dispositivi senza jailbreak sarebbero quindi vulnerabili, perché i file con le configurazioni del profilo utente lavorano alla luce del Sole invece di starsene sotto chiave.
Il team di Next Web ha scoperto che anche l’applicazione ufficiale DropBox utilizza la medesima filosofia ed è quindi afflitta dalla stessa falla. Per rubare dati altrui con questo stratagemma, funzionante anche in ambito Android, un malintenzionato deve accedere fisicamente al dispositivo mobile, via USB, ma un programma ad hoc installato su un computer pubblico potrebbe copiare .plist in maniera automatica, da tutti gli smartphone e i tablet che si colleghino a esso.
Roberto Pulito