iOS e il bug della disattivazione WiFi: in arrivo la patch con iOS 14.7

iOS e il bug della disattivazione WiFi: in arrivo la patch con iOS 14.7

La nuova beta di iOS 14.5 include la patch che risolve il problema della disattivazione WiFi in presenza di nomi di rete con il carattere di percentuale

di pubblicata il , alle 15:31 nel canale Apple
AppleiOS
 

La beta 5 di iOS 14.7 destinata agli sviluppatori contiene una correzione per l'insolito bug che ha l'effetto di disattivare la connettività WiFi quando il dispositivo si connette ad una rete il cui SSID contiene caratteri "%". Ne avevamo parlato nei giorni scorsi nella notizia: Strano bug su iPhone e altri device iOS: alcuni nomi di rete possono disattivare il Wi-Fi.

Un ricercatore di sicurezza ha infatti scoperto che una rete WiFi che contiene i simboli di percentuale nel nome avrebbe l'effetto collaterale di disabilitare le connessioni WiFi su un dispositivo iOS. Sul canale YouTube Zollotech è stato condiviso un video che dimostra che nella beta 5 di iOS 14.7 il problema viene corretto.

E' possibile che il bug scaturisca da un problema con l'analisi dell'input, dove il segno di percentuale poteva essere erroneamente interpretato da iOS come un identificatore di formato stringa, e cioè che i caratteri che seguivano il simbolo potessero essere considerati come una variabile o un comando, invece che testo semplice.

L'aggiornamento dovrebbe essere considerato ad alta priorità, considerando il problema che va a risolvere, e possiamo aspettarci di vederlo rilasciato nel giro di poco tempo, e sarà disponibile mediante il consueto meccanismo "aggiornamento software" integrato nel sistema operativo mobile della Mela.

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan10 Luglio 2021, 16:01 #1
Ho letto su DDAY.it, un vostro concorrente, una notizia sul fatto che un gruppo di criminali informatici rubava telefoni iPhone e con quelli prelevava soldi dai conti correnti:

In Brasile i criminali riescono ad accedere ai conti bancari delle persone dopo aver sottratto loro gli iPhone. E non ci riescono sfruttando una debolezza del sistema operativo, o meglio non direttamente: ai criminali serve solo la SIM fisica all’interno del telefono; ottenuta quella arrivare ai dati bancari è un gioco da ragazzi.


Non riporto il link per correttezza.

Questa è la fonte della notizia in portoghese:

https://www1.folha.uol.com.br/cotid...s-vitimas.shtml

Mi chiedo se avete intenzione di dare la notizia.

Comunque in pratica visto che nessuno protegge la SIM con un pin oppure è protetta dal pin standard e non lo modifica nessuno e visto che tutti i metodi di autenticazione fanno riferimento alla SIM e che anche il 2FA fa riferimento alla SIM in ultima analisi, ne scaturisce che basta sottrarre la SIM per avere pieno controllo sui conti correnti on line.

Se ci si pensa un attimo tutti i servizi danno la possibilità di recuperare le proprie informazioni tramite la proprietà della SIM.

Edit:

Basically, thieves take the SIM card out of the stolen iPhone and then put it into another iPhone. Using social networks like Facebook and Instagram, they can easily find out the email address used by the person who had the phone stolen. In most cases, this email address is the same as the one used for the Apple ID. All they need to do is reset the Apple ID password using the victim’s phone number.

Barbeiro says that the easiest way criminals have to find passwords is by looking in the Notes app since many users seem to store bank and credit card passwords there. However, with access to the iCloud account, they can easily get all the passwords from the iCloud Keychain as well.

When they download data from the cloud to the new device, they search for information linked to the word “password” and, according to them, they usually get what they need to access the victim’s bank accounts. Once they have this information, they return the SIM card to the victim’s phone and give the device to the gang member responsible for access the bank accounts.


https://9to5mac.com/2021/07/07/braz...stolen-iphones/
TorettoMilano10 Luglio 2021, 16:26 #2
Originariamente inviato da: Sandro kensan
Ho letto su DDAY.it, un vostro concorrente, una notizia sul fatto che un gruppo di criminali informatici rubava telefoni iPhone e con quelli prelevava soldi dai conti correnti:



Non riporto il link per correttezza.

Questa è la fonte della notizia in portoghese:

https://www1.folha.uol.com.br/cotid...s-vitimas.shtml

Mi chiedo se avete intenzione di dare la notizia.

Comunque in pratica visto che nessuno protegge la SIM con un pin oppure è protetta dal pin standard e non lo modifica nessuno e visto che tutti i metodi di autenticazione fanno riferimento alla SIM e che anche il 2FA fa riferimento alla SIM in ultima analisi, ne scaturisce che basta sottrarre la SIM per avere pieno controllo sui conti correnti on line.

Se ci si pensa un attimo tutti i servizi danno la possibilità di recuperare le proprie informazioni tramite la proprietà della SIM.


ho letto l'articolo. mettere "iphone" nell'articolo è solo da acchiappaclick.
per il resto si parla di recuperare credenziali dalla app "note" e altre cosette particolari.
come per i bancomat se ti rubano il telefono la prima cosa è bloccare la sim e personalmente per fare bonifici ho bisogno del token fisico. potrei dilungarmi ma evito.
io magari sarò troppo premuroso per la gestione contante su smartphone ma a leggere l'articolo le vittime sono totali sprovveduti
Sandro kensan10 Luglio 2021, 16:36 #3
Originariamente inviato da: TorettoMilano
ho letto l'articolo. mettere "iphone" nell'articolo è solo da acchiappaclick.
per il resto si parla di recuperare credenziali dalla app "note" e altre cosette particolari.
come per i bancomat se ti rubano il telefono la prima cosa è bloccare la sim poi evito di dilungarmi.
io magari sarò troppo premuroso per la gestione contante su smartphone ma a leggere l'articolo le vittime sono totali sprovveduti


Questi criminali usano una strategia che è efficace perché molto diffusa. I giornali raccontano che quasi tutti memorizzano le password (anche quella di sblocco del iPhone) dentro l'iPhone (per esempio nell'app note). Visto che nessuno protegge questi file con password il criminale può ripristinare dal cloud i file su un altro iphone e fare una ricerca del termine "password" e trovare le password che cerca. Inolte (edit) si specifica che tramite il gestore delle password comunque si hanno queste informazioni.

Poi bloccare la SIM se il telefono ti viene rubato non è proprio facilissimo perché ti devi accorgere subito del furto, devi andare in un negozio con un documento (che magari ti hanno rubato) e magari sei più preoccupato di bloccare la carta di credito. Poi magari sei lontano da casa per cui dare dello sprovveduto è capace solo quello che parla col senno di poi (di cui sono piene le fosse).

Poi quanto tempo impiegano per svuotarti il conto corrente e quanto tempo impieghi tu a realizzare che sulla SIM si basa il tuo conto corrente? Credo che nessuno sappia che sulla SIM si basa l'inviolabilità del C/C. Certo viene in mente di telefonare alla banca ma si farà in tempo?
TorettoMilano10 Luglio 2021, 16:58 #4
Originariamente inviato da: Sandro kensan
Questi criminali usano una strategia che è efficace perché molto diffusa. I giornali raccontano che quasi tutti memorizzano le password (anche quella di sblocco del iPhone) dentro l'iPhone (per esempio nell'app note). Visto che nessuno protegge questi file con password il criminale può ripristinare dal cloud i file su un altro iphone e fare una ricerca del termine "password" e trovare le password che cerca. Inolte (edit) si specifica che tramite il gestore delle password comunque si hanno queste informazioni.

Poi bloccare la SIM se il telefono ti viene rubato non è proprio facilissimo perché ti devi accorgere subito del furto, devi andare in un negozio con un documento (che magari ti hanno rubato) e magari sei più preoccupato di bloccare la carta di credito. Poi magari sei lontano da casa per cui dare dello sprovveduto è capace solo quello che parla col senno di poi (di cui sono piene le fosse).

Poi quanto tempo impiegano per svuotarti il conto corrente e quanto tempo impieghi tu a realizzare che sulla SIM si basa il tuo conto corrente? Credo che nessuno sappia che sulla SIM si basa l'inviolabilità del C/C. Certo viene in mente di telefonare alla banca ma si farà in tempo?


ma è dai tempi dello startac che la prima cosa da fare è chiamare il numero verde per bloccare la sim. fai che chiamino in giappone.
in teoria basta una chiamata al numero verde per bloccare la sim.
poi mi scrivi che la gente mette come sfondo le password? cosa posso dire se non "cavoli loro"? mi spiace per i derubati ma se scrivo sulla porta di casa "la porta è aperta, la cassaforte è nel soggiorno e il codice è 1234" non sono proprio un genio
Sandro kensan10 Luglio 2021, 17:01 #5
Originariamente inviato da: TorettoMilano
in teoria basta una chiamata al numero verde per bloccare la sim.


Vuoi dirmi che se voglio e ho il numero di telefono di Bill Gates (facebook list) posso bloccare il suo telefono?
TorettoMilano10 Luglio 2021, 17:10 #6
Originariamente inviato da: Sandro kensan
Vuoi dirmi che se voglio e ho il numero di telefono di Bill Gates (facebook list) posso bloccare il suo telefono?


immagino bill gates si sia preso delle precauzioni con la propria sim, poche settimane un mio conoscente (aimè non era bill gates e nemmeno steve cook) ha bloccato telefonicamente la sim smarrita

https://www.altroconsumo.it/hi-tech...-vari-operatori
Svelgen11 Luglio 2021, 09:14 #7
Originariamente inviato da: TorettoMilano
immagino bill gates si sia preso delle precauzioni con la propria sim, poche settimane un mio conoscente (aimè non era bill gates e nemmeno steve cook) ha bloccato telefonicamente la sim smarrita

https://www.altroconsumo.it/hi-tech...-vari-operatori


Ma a parte quello….parla di svuotare il “conto corrente”.
Ma chi é quel deficiente che, in Italia, lascia su cifre importanti considerato che ci paghi delle tasse?
Poi vabbè… le notizie dove devi avere in mano chiavi di casa, telefono del proprietario, sim e magari anche la moglie sono sempre quelle che mi fanno sorridere di più.
Se a me manca il telefono, la prima cosa che faccio sarà quella di localizzarlo e nel caso non ottengo alcuna risposta di formattare da remoto tutti i dati contenuti nel telefono.
Dopodiché, resta da capire come faccia, chi ruba il telefono ad entrare nel blocco note ( e già qua, salvare le password nelle note e da veri geni), oppure nel portachiavi e prendersi quello che gli occorre per poi loggarsi al conto bancario.
Se il telefono é bloccato con faceid o touch, hai in mano solamente un telefono con una sim e basta. Io ad esempio, se me lo fregassero, non perderei neppure tempo a bloccare la sim. Ci sono più possibilità che il ladro di turno vinca al Superenalotto rispetto a quelle che riesca a farsi un bonifico sul suo conto corrente (che chiaramente a quel punto sarebbe tracciato….:asd
La prima cosa da fare, e che sfugge a kensan, é quella di sbloccare il telefono. Della sim te ne fai poco o nulla visto che spesso, per entrare nella banca, ti arriva una notifica sull’app che fa da token e non un sms.
baruk11 Luglio 2021, 10:38 #8
Per sbloccare il conto corrente, almeno con la mia Banca, non bastano più user e password ma occorre o l'autenticazione a due fattori tramite OTP o (meglio) il sensore biometico per le impronte digitali. Ovvio che un terminale con importanti dati va protetto con il PIN SIM e magari pure col la crittografia alla partenza.
giuliop11 Luglio 2021, 11:44 #9
Originariamente inviato da: Sandro kensan
Ho letto su DDAY.it, un vostro concorrente, una notizia sul fatto che un gruppo di criminali informatici rubava telefoni iPhone e con quelli prelevava soldi dai conti correnti:[...]


Quindi, riassumendo, devi:
- scriverti la password nelle note
- non avere le note protette
- non avere un PIN sulla SIM - o lasciare quello di default, che però non deve essere casuale (mai avuto in PIN che di default non fosse casuale)
- non aver attivato un metodo di autenticazione biometrica per il telefono
- non usare app che te lo chiedono.

E poi? Lasci il telefono sul tavolo al bar e dopo 2 ore ti accorgi che "me l'hanno rubato!!11!!1"?

In quale modo il problema è l'iPhone, e non l'utente demente a cui evidentemente non frega assolutamente niente della sicurezza?
biometallo11 Luglio 2021, 14:14 #10
Dato che mi pare ci sia una certa confusione e comunque credo che alcuni abbiano risposto alla questione sollevata da Sandro kensan vorrei provare a fare chiarezza:

Intanto ecco qui il link all'articolo della concorrenza:

Il rischio delle SIM fisiche: come i criminali brasiliani accedevano ai dati bancari sugli iPhone

O almeno credo sia questo perché la fonte è un articolo diverso da quello proposto:

https://www1.folha.uol.com.br/cotidiano/2021/07/consigo-desbloquear-todos-os-modelos-de-iphone-diz-criminoso-que-invade-contas-bancarias.shtml"]Posso sbloccare tutti i modelli di iPhone", dice il criminale che irrompe nei conti bancari[/URL]

Facendo un sunto si parla come del fatto che mentre gli esperti di sicurezza pare abbiano sempre fallito nel aprire gli iphone i criminali riescano senza problemi a scavalcare tutti i sistemi di sicurezza compresi quelli biometrici come riconoscimento facciale e impronte digitali,

Se a me manca il telefono, la prima cosa che faccio sarà quella di localizzarlo e nel caso non ottengo alcuna risposta di formattare da remoto tutti i dati contenuti nel telefono.


Stando all'articolo quello che fanno queste bande e strappare di mano il telefono mentre l'untente lo sta usando e quindi è sbloccato, attivare la fotocamera per impedire che il telefono possa bloccarsi, e poi attivare la modalità aereo per impedire che venga rintracciato e aggiungerei che si possa comunicare da remoto, a questo punto si mette la sim in un altro telefono (da qui copio incollo la traduzione di google)

"In seguito, ha iniziato a fare ricerche sui social network (soprattutto Facebook e Instagram) per scoprire quale account fosse collegato a quel numero di linea.

Successivamente, ha iniziato a cercare l'indirizzo e-mail utilizzato dalla vittima per eseguire il backup dei contenuti del dispositivo, in particolare nei cloud di iCloud e Google Drive, prima cercato dalle estensioni @gmail.com.

Quando scarica le informazioni dal cloud sul nuovo dispositivo, inizia a cercare lì le informazioni legate alla parola “password” e, secondo lui, di solito ottiene i numeri e gli accessi del suo cellulare e dei conti bancari.

Dopo aver ottenuto queste informazioni, restituisce la sim al cellulare della vittima e, con le password in mano, passa il dispositivo al membro della banda responsabile dell'accesso ai conti e del trasferimento di tutto ciò che può sui conti bancari arancioni."



Credo che comunque questi siano degli esempi, perché l'articolo parte dicendo che anche Iphone scarichi e spenti (che quindi non potevano essere sbloccati nel momento del furto) sono stati ugualmente violati

Ad ogni modo l'articolo linkato da Sandro Kessen stesso ci fa sapere che il problema non riguarda solo IOS e che anzi queste bande pare prediligano i telefoni non protetti o con Android, presumibilmente ancora più semplici da sbloccare.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^