iOS e il bug della disattivazione WiFi: in arrivo la patch con iOS 14.7

La nuova beta di iOS 14.5 include la patch che risolve il problema della disattivazione WiFi in presenza di nomi di rete con il carattere di percentuale
di Andrea Bai pubblicata il 10 Luglio 2021, alle 15:31 nel canale AppleAppleiOS
La beta 5 di iOS 14.7 destinata agli sviluppatori contiene una correzione per l'insolito bug che ha l'effetto di disattivare la connettività WiFi quando il dispositivo si connette ad una rete il cui SSID contiene caratteri "%". Ne avevamo parlato nei giorni scorsi nella notizia: Strano bug su iPhone e altri device iOS: alcuni nomi di rete possono disattivare il Wi-Fi.
Un ricercatore di sicurezza ha infatti scoperto che una rete WiFi che contiene i simboli di percentuale nel nome avrebbe l'effetto collaterale di disabilitare le connessioni WiFi su un dispositivo iOS. Sul canale YouTube Zollotech è stato condiviso un video che dimostra che nella beta 5 di iOS 14.7 il problema viene corretto.
E' possibile che il bug scaturisca da un problema con l'analisi dell'input, dove il segno di percentuale poteva essere erroneamente interpretato da iOS come un identificatore di formato stringa, e cioè che i caratteri che seguivano il simbolo potessero essere considerati come una variabile o un comando, invece che testo semplice.
L'aggiornamento dovrebbe essere considerato ad alta priorità, considerando il problema che va a risolvere, e possiamo aspettarci di vederlo rilasciato nel giro di poco tempo, e sarà disponibile mediante il consueto meccanismo "aggiornamento software" integrato nel sistema operativo mobile della Mela.
19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNon riporto il link per correttezza.
Questa è la fonte della notizia in portoghese:
https://www1.folha.uol.com.br/cotid...s-vitimas.shtml
Mi chiedo se avete intenzione di dare la notizia.
Comunque in pratica visto che nessuno protegge la SIM con un pin oppure è protetta dal pin standard e non lo modifica nessuno e visto che tutti i metodi di autenticazione fanno riferimento alla SIM e che anche il 2FA fa riferimento alla SIM in ultima analisi, ne scaturisce che basta sottrarre la SIM per avere pieno controllo sui conti correnti on line.
Se ci si pensa un attimo tutti i servizi danno la possibilità di recuperare le proprie informazioni tramite la proprietà della SIM.
Edit:
Barbeiro says that the easiest way criminals have to find passwords is by looking in the Notes app since many users seem to store bank and credit card passwords there. However, with access to the iCloud account, they can easily get all the passwords from the iCloud Keychain as well.
When they download data from the cloud to the new device, they search for information linked to the word “password” and, according to them, they usually get what they need to access the victim’s bank accounts. Once they have this information, they return the SIM card to the victim’s phone and give the device to the gang member responsible for access the bank accounts.
https://9to5mac.com/2021/07/07/braz...stolen-iphones/
Non riporto il link per correttezza.
Questa è la fonte della notizia in portoghese:
https://www1.folha.uol.com.br/cotid...s-vitimas.shtml
Mi chiedo se avete intenzione di dare la notizia.
Comunque in pratica visto che nessuno protegge la SIM con un pin oppure è protetta dal pin standard e non lo modifica nessuno e visto che tutti i metodi di autenticazione fanno riferimento alla SIM e che anche il 2FA fa riferimento alla SIM in ultima analisi, ne scaturisce che basta sottrarre la SIM per avere pieno controllo sui conti correnti on line.
Se ci si pensa un attimo tutti i servizi danno la possibilità di recuperare le proprie informazioni tramite la proprietà della SIM.
ho letto l'articolo. mettere "iphone" nell'articolo è solo da acchiappaclick.
per il resto si parla di recuperare credenziali dalla app "note" e altre cosette particolari.
come per i bancomat se ti rubano il telefono la prima cosa è bloccare la sim e personalmente per fare bonifici ho bisogno del token fisico. potrei dilungarmi ma evito.
io magari sarò troppo premuroso per la gestione contante su smartphone ma a leggere l'articolo le vittime sono totali sprovveduti
per il resto si parla di recuperare credenziali dalla app "note" e altre cosette particolari.
come per i bancomat se ti rubano il telefono la prima cosa è bloccare la sim poi evito di dilungarmi.
io magari sarò troppo premuroso per la gestione contante su smartphone ma a leggere l'articolo le vittime sono totali sprovveduti
Questi criminali usano una strategia che è efficace perché molto diffusa. I giornali raccontano che quasi tutti memorizzano le password (anche quella di sblocco del iPhone) dentro l'iPhone (per esempio nell'app note). Visto che nessuno protegge questi file con password il criminale può ripristinare dal cloud i file su un altro iphone e fare una ricerca del termine "password" e trovare le password che cerca. Inolte (edit) si specifica che tramite il gestore delle password comunque si hanno queste informazioni.
Poi bloccare la SIM se il telefono ti viene rubato non è proprio facilissimo perché ti devi accorgere subito del furto, devi andare in un negozio con un documento (che magari ti hanno rubato) e magari sei più preoccupato di bloccare la carta di credito. Poi magari sei lontano da casa per cui dare dello sprovveduto è capace solo quello che parla col senno di poi (di cui sono piene le fosse).
Poi quanto tempo impiegano per svuotarti il conto corrente e quanto tempo impieghi tu a realizzare che sulla SIM si basa il tuo conto corrente? Credo che nessuno sappia che sulla SIM si basa l'inviolabilità del C/C. Certo viene in mente di telefonare alla banca ma si farà in tempo?
Poi bloccare la SIM se il telefono ti viene rubato non è proprio facilissimo perché ti devi accorgere subito del furto, devi andare in un negozio con un documento (che magari ti hanno rubato) e magari sei più preoccupato di bloccare la carta di credito. Poi magari sei lontano da casa per cui dare dello sprovveduto è capace solo quello che parla col senno di poi (di cui sono piene le fosse).
Poi quanto tempo impiegano per svuotarti il conto corrente e quanto tempo impieghi tu a realizzare che sulla SIM si basa il tuo conto corrente? Credo che nessuno sappia che sulla SIM si basa l'inviolabilità del C/C. Certo viene in mente di telefonare alla banca ma si farà in tempo?
ma è dai tempi dello startac che la prima cosa da fare è chiamare il numero verde per bloccare la sim. fai che chiamino in giappone.
in teoria basta una chiamata al numero verde per bloccare la sim.
poi mi scrivi che la gente mette come sfondo le password? cosa posso dire se non "cavoli loro"? mi spiace per i derubati ma se scrivo sulla porta di casa "la porta è aperta, la cassaforte è nel soggiorno e il codice è 1234" non sono proprio un genio
Vuoi dirmi che se voglio e ho il numero di telefono di Bill Gates (facebook list) posso bloccare il suo telefono?
immagino bill gates si sia preso delle precauzioni con la propria sim, poche settimane un mio conoscente (aimè non era bill gates e nemmeno steve cook) ha bloccato telefonicamente la sim smarrita
https://www.altroconsumo.it/hi-tech...-vari-operatori
Quindi, riassumendo, devi:
- scriverti la password nelle note
- non avere le note protette
- non avere un PIN sulla SIM - o lasciare quello di default, che però non deve essere casuale (mai avuto in PIN che di default non fosse casuale)
- non aver attivato un metodo di autenticazione biometrica per il telefono
- non usare app che te lo chiedono.
E poi? Lasci il telefono sul tavolo al bar e dopo 2 ore ti accorgi che "me l'hanno rubato!!11!!1"?
In quale modo il problema è l'iPhone, e non l'utente demente a cui evidentemente non frega assolutamente niente della sicurezza?
Intanto ecco qui il link all'articolo della concorrenza:
Il rischio delle SIM fisiche: come i criminali brasiliani accedevano ai dati bancari sugli iPhone
O almeno credo sia questo perché la fonte è un articolo diverso da quello proposto:
https://www1.folha.uol.com.br/cotidiano/2021/07/consigo-desbloquear-todos-os-modelos-de-iphone-diz-criminoso-que-invade-contas-bancarias.shtml"]Posso sbloccare tutti i modelli di iPhone", dice il criminale che irrompe nei conti bancari[/URL]
Facendo un sunto si parla come del fatto che mentre gli esperti di sicurezza pare abbiano sempre fallito nel aprire gli iphone i criminali riescano senza problemi a scavalcare tutti i sistemi di sicurezza compresi quelli biometrici come riconoscimento facciale e impronte digitali,
Stando all'articolo quello che fanno queste bande e strappare di mano il telefono mentre l'untente lo sta usando e quindi è sbloccato, attivare la fotocamera per impedire che il telefono possa bloccarsi, e poi attivare la modalità aereo per impedire che venga rintracciato e aggiungerei che si possa comunicare da remoto, a questo punto si mette la sim in un altro telefono (da qui copio incollo la traduzione di google)
"In seguito, ha iniziato a fare ricerche sui social network (soprattutto Facebook e Instagram) per scoprire quale account fosse collegato a quel numero di linea.
Successivamente, ha iniziato a cercare l'indirizzo e-mail utilizzato dalla vittima per eseguire il backup dei contenuti del dispositivo, in particolare nei cloud di iCloud e Google Drive, prima cercato dalle estensioni @gmail.com.
Quando scarica le informazioni dal cloud sul nuovo dispositivo, inizia a cercare lì le informazioni legate alla parola “password” e, secondo lui, di solito ottiene i numeri e gli accessi del suo cellulare e dei conti bancari.
Dopo aver ottenuto queste informazioni, restituisce la sim al cellulare della vittima e, con le password in mano, passa il dispositivo al membro della banda responsabile dell'accesso ai conti e del trasferimento di tutto ciò che può sui conti bancari arancioni."
Credo che comunque questi siano degli esempi, perché l'articolo parte dicendo che anche Iphone scarichi e spenti (che quindi non potevano essere sbloccati nel momento del furto) sono stati ugualmente violati
Ad ogni modo l'articolo linkato da Sandro Kessen stesso ci fa sapere che il problema non riguarda solo IOS e che anzi queste bande pare prediligano i telefoni non protetti o con Android, presumibilmente ancora più semplici da sbloccare.
Successivamente, ha iniziato a cercare l'indirizzo e-mail utilizzato dalla vittima per eseguire il backup dei contenuti del dispositivo, in particolare nei cloud di iCloud e Google Drive, prima cercato dalle estensioni @gmail.com.
Per inciso, questo non ha alcun senso, se hai il telefono sbloccato puoi vedere benissimo l'indirizzo e-mail collegato ad iCloud nelle impostazioni.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".