iOS, certe app si prestano all'intercettazione

iOS, certe app si prestano all'intercettazione

Identificata una vulnerabilità di sicurezza potenzialmente molto pericolosa che coinvolge numerose app per iOS. Un problema facile da scovare e da risolvere cambiando poche righe di codice
Identificata una vulnerabilità di sicurezza potenzialmente molto pericolosa che coinvolge numerose app per iOS. Un problema facile da scovare e da risolvere cambiando poche righe di codice

Un centinaio di app per iOS include una vulnerabilità nel codice di rete per la gestione delle comunicazioni cifrate su protocollo TLS, rivela il ricercatore Will Strafach, un baco potenzialmente sfruttabile per portare a segno attacchi di tipo man-in-the-middle (MITM) con la conseguente compromissione di dati sensibili tramite connessione wireless sulle reti WiFi locali.

La rivelazione di Strafach è in realtà in parte a sfondo promozionale, visto che lo sviluppatore “promuove” il servizio verify.ly che è stato appunto utilizzato per scansionare le app alla ricerca di bug: il tool è pensato per “analizzare il codice binario di una app iOS così da produrre un rapporto leggibile” da un normale essere umano, e nel caso specifico è servito a scovare problemi in 76 diverse app variamente popolari disponibili sullo store di Cupertino .

Il numero di app per cui è scattato un “allarme” di possibile intercettazione dei dati si conta nelle centinaia , spiega lo sviluppatore, ma le 76 app in oggetto contengono un bug vero e proprio che rende tale intercettazione pressoché una certezza: 43 di queste app pongono un rischio medio-alto, perché rischiano di esporre informazioni di login e autenticazione a servizi bancari, biomedicali e altro, mentre per le restanti 33 il rischio è basso con una compromissione solo parziale di dati sensibili.

In totale, le 76 app vulnerabili hanno collezionato qualcosa come 18 milioni di download senza che gli utenti fossero a conoscenza della possibile minaccia alla propria riservatezza. A peggiorare le cose c’è il fatto che il bug di gestione dei certificati TLS è relativamente facile da chiudere, e prevede la modifica di poche linee di codice sorgente.

Strafach dice di essere impegnato nel tentativo di contattare tutti gli sviluppatori per spiegare in dettaglio il problema, e consiglia ai programmatori di app di fare attenzione quando riutilizzano “pezzetti” di codice recuperato in rete i cui effetti concreti non sono in grado di capire appieno. Dal punto di vista degli utenti finali, invece, la migliore misura di sicurezza consiste nel disabilitare l’accesso al WiFi e far operare le app incriminate solo tramite rete cellulare: a quel punto i cyber-criminali dovrebbero ricorrere a strumentazioni illegali e molto più costose per compromettere i dati.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
7 feb 2017
Link copiato negli appunti