Scoperte vulnerabilità su 76 app per iPhone e iPad sull'App Store ufficiale

Dopo aver scansionato i codici binari di alcune applicazioni scaricabili via App Store su iOS, il servizio verify.ly di Will Strafach ha scoperto che 76 applicazioni celebri dello store digitale di Cupertino sono vulnerabili all'intercettazione dei dati gestiti. L'operazione è possibile a prescindere dall'uso della tecnologia App Transport Security e non è una novità assoluta in ambito iOS dal momento che alcuni mesi fa sono state trovate vulnerabilità simili sulle app Experian e myFICO Mobile per il SO della Mela.

verify.ly è un servizio apposito per il rilevamento delle vulnerabilità sulle app per iOS, e ha il fine di aiutare gli sviluppatori a migliorare la sicurezza del codice scritto. Le scansioni vanno alla ricerca dei pattern tipici delle vulnerabilità note visto che in alcuni casi gli stessi "errori" sono ripetuti su più applicazioni diverse. Gli annunci effettuati da Stravach preoccupano per via della diffusione delle app coinvolte, scaricate complessivamente 18 milioni di volte dai tanti utenti iOS.

"La feature App Transport Security non riesce a bloccare la vulnerabilità che abbiamo scoperto", ha dichiarato Strafach. ATS è stato implementato per la prima volta su iOS 9 e obbliga le applicazioni di App Store ad utilizzare il protocollo HTTPS quando necessario. La compagnia aveva imposto il 1° gennaio 2017 come termine ultimo per osservare l'obbligo, tuttavia in seguito ha rimandato il tutto ad una data da destinarsi. La vulnerabilità si basa su un codice di rete configurato in maniera errata che consente alla feature App Transport Security di considerare come TLS connessioni che in realtà non sono in alcun modo protette.

Secondo le parole dell'esperto di sicurezza Apple non può fare molto, con le possibili soluzioni che potrebbero rendere altre applicazioni per iOS meno sicure. Gli unici a poter mettere una pezza permanente sono gli stessi sviluppatori delle app coinvolte, assicurandosi che nel codice utilizzato non è presente la vulnerabilità. Strafach suddivide le 76 applicazioni con diversi livelli di rischio: basso, medio e alto. Fra queste troviamo ooVoo, ViaVideo, Snap Upload for Snapchat, Uploader Free for Snapchat e Cheetah Browser. Possono mitigare il problema gli utenti stessi, ad esempio utilizzando una VPN o spegnere del tutto la connessione Wi-Fi sul terminale.

Quest'ultima soluzione non è naturalmente praticabile in ogni momento, ma è comunque consigliabile quando si è in un luogo pubblico e si devono svolgere azioni delicate sullo smartphone (ad esempio la semplice esecuzione di un'app bancaria). La vulnerabilità segnalata da Strafach è comunque presente anche se l'utente si collega via rete cellulare, tuttavia in quest'ultimo caso l'intercettazione dei dati è più difficile, richiede strumenti costosi e l'attacco risulterebbe molto più evidente per la vittima. Ulteriori dettagli e una lista parziale delle app vulnerabili a questo indirizzo.