Scoperte vulnerabilità su 76 app per iPhone e iPad sull'App Store ufficiale

Scoperte vulnerabilità su 76 app per iPhone e iPad sull'App Store ufficiale

Il servizio verify.ly ha scoperto 76 applicazioni di App Store vulnerabili ad un exploit che consente di intercettare dati da iPhone e iPad

di Nino Grasso pubblicata il , alle 17:07 nel canale Apple
AppleiOSiPhoneiPad
 

Dopo aver scansionato i codici binari di alcune applicazioni scaricabili via App Store su iOS, il servizio verify.ly di Will Strafach ha scoperto che 76 applicazioni celebri dello store digitale di Cupertino sono vulnerabili all'intercettazione dei dati gestiti. L'operazione è possibile a prescindere dall'uso della tecnologia App Transport Security e non è una novità assoluta in ambito iOS dal momento che alcuni mesi fa sono state trovate vulnerabilità simili sulle app Experian e myFICO Mobile per il SO della Mela.

verify.ly è un servizio apposito per il rilevamento delle vulnerabilità sulle app per iOS, e ha il fine di aiutare gli sviluppatori a migliorare la sicurezza del codice scritto. Le scansioni vanno alla ricerca dei pattern tipici delle vulnerabilità note visto che in alcuni casi gli stessi "errori" sono ripetuti su più applicazioni diverse. Gli annunci effettuati da Stravach preoccupano per via della diffusione delle app coinvolte, scaricate complessivamente 18 milioni di volte dai tanti utenti iOS.

"La feature App Transport Security non riesce a bloccare la vulnerabilità che abbiamo scoperto", ha dichiarato Strafach. ATS è stato implementato per la prima volta su iOS 9 e obbliga le applicazioni di App Store ad utilizzare il protocollo HTTPS quando necessario. La compagnia aveva imposto il 1° gennaio 2017 come termine ultimo per osservare l'obbligo, tuttavia in seguito ha rimandato il tutto ad una data da destinarsi. La vulnerabilità si basa su un codice di rete configurato in maniera errata che consente alla feature App Transport Security di considerare come TLS connessioni che in realtà non sono in alcun modo protette.

Secondo le parole dell'esperto di sicurezza Apple non può fare molto, con le possibili soluzioni che potrebbero rendere altre applicazioni per iOS meno sicure. Gli unici a poter mettere una pezza permanente sono gli stessi sviluppatori delle app coinvolte, assicurandosi che nel codice utilizzato non è presente la vulnerabilità. Strafach suddivide le 76 applicazioni con diversi livelli di rischio: basso, medio e alto. Fra queste troviamo ooVoo, ViaVideo, Snap Upload for Snapchat, Uploader Free for Snapchat e Cheetah Browser. Possono mitigare il problema gli utenti stessi, ad esempio utilizzando una VPN o spegnere del tutto la connessione Wi-Fi sul terminale.

Quest'ultima soluzione non è naturalmente praticabile in ogni momento, ma è comunque consigliabile quando si è in un luogo pubblico e si devono svolgere azioni delicate sullo smartphone (ad esempio la semplice esecuzione di un'app bancaria). La vulnerabilità segnalata da Strafach è comunque presente anche se l'utente si collega via rete cellulare, tuttavia in quest'ultimo caso l'intercettazione dei dati è più difficile, richiede strumenti costosi e l'attacco risulterebbe molto più evidente per la vittima. Ulteriori dettagli e una lista parziale delle app vulnerabili a questo indirizzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
alexbands07 Febbraio 2017, 21:25 #1
Che delusione, niente commenti contro apple
dav11707 Febbraio 2017, 22:24 #2
ma come non era iOS il sistema più sicuro ed affidabile?

ah vero android è dei poveracci morti di fame che non si possono permettere di comprare un iphone da 1000€
dav11707 Febbraio 2017, 22:25 #3
doppio
SpyroTSK07 Febbraio 2017, 22:40 #4
Originariamente inviato da: alexbands
Che delusione, niente commenti contro apple


Infatti, ci speravo pure io! Invece è un thread molto triste

E' possibile che siano tutti andati negli apple store per la classica fila di km di persone? Solo che questa volta mi sà che lo fanno per restituire gli iphone...
M4R1|<07 Febbraio 2017, 23:18 #5
76 app fanno notizia per Apple solo perché lato Android gli editori si sono stufati di scrivere se non sono almeno oltre le 10.000
Ginopilot08 Febbraio 2017, 08:14 #6
Se questi sono i problemi di sicurezza di ios, hanno fatto davvero un ottimo lavoro.
Ginopilot08 Febbraio 2017, 08:15 #7
Originariamente inviato da: M4R1|<
76 app fanno notizia per Apple solo perché lato Android gli editori si sono stufati di scrivere se non sono almeno oltre le 10.000


Per la natura del mondo android, e' impossibile quantificare il numero delle app con vulnerabilita'. Basti solo pensare al quantitativo di app spazzatura che infestato lo store ufficiale google.
Wonder08 Febbraio 2017, 09:33 #8
Ma che vulnerabilità sarebbe? Il solito malintenzionato può prendere controllo del dispositivo? No. E allora? Ahh si può navigare su connessioni non protette.... bella vulnerabilità
E poi? 76 app su 2 milioni (fonte wikipedia, al 2016) ???
Ridicolo
Ho guardato l'elenco delle app incriminate... meno male che sono diffusissime.. non ne ho neanche una
ambaradan7408 Febbraio 2017, 09:49 #9
Lato mobile non c'e' confronto.

Il problema principale del mondo Android e' che ci sono milioni (probabilmente decine) di cellulari senza patch di sicurezza.

Sotto IOS ci sono gli aggiornamenti e maggior controllo sullo store.

Daltronde se gli iphone costicchiano qualcosina in piu c'e' un motivo.
gd350turbo08 Febbraio 2017, 10:41 #10
Anche per l' iphoniano medio usa:
Facebook , WhatsApp, Telegram, instagram, Twitter.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^