Un bug SSL manda in crash i dispositivi iOS su reti WiFi compromesse

Un bug SSL manda in crash i dispositivi iOS su reti WiFi compromesse

Un certificato SSL opportunamente costruito rischia di mandare in crash singole applicazioni iOS o addirittura tutto il sistema: una vulnerabilità che combinata con altre può dar luogo ad una zona "No iOS" tramite rete WiFi

di pubblicata il , alle 15:01 nel canale Apple
Apple
 

Un bug nella libreria SSL di iOS potrebbe permettere ad un attaccante di portare al crash singole app o addirittura l'intero dispositivo nel momento in cui esso viene connesso ad un hotspot WiFi appositamente compromesso.

L'attacco, individuato dai ricercatori Yair Amit e Adi Sharabanu di Skycure, si origina da un problema con il parsing dei certificati SSL con iOS. Inviando un certificato costruito opportunamente ad un dispositivo iOS tramite un hotspost WiFi è stato possibile mandare in crash applicazioni singole così come l'intero dispositivo.

La stessa società di sicurezza ha individuato nel 2013 un'altra vulnerabilità, allora battezzata con il nome WiFiGate che permetteva ad un attaccante di creare un network WiFi e obbligare un dispositivo esterno a connettersi alla rete. Combinando questa vulnerabilità con quella appena scoperta, potrebbe consentire la creazione di una "No iOS Zone" dove un dispositivo iOS viene forzato a collegarsi ad una rete che sfrutta la vulnerabilità SSL per continuare a mandare in crash il dispositivo fino a quando questo non esce dal raggio d'azione della rete WiFi.

I due ricercatori hanno già notificato il problema ad Apple e stanno collaborando con la compagnia per trovare una soluzione. Una parte del problema sembra essere già stata risolta nell'aggiornamento iOS 8.3, del quale si consiglia caldamente l'installazione.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
emiliano8423 Aprile 2015, 15:37 #1
"it's not a bug, it's a feature"
Simonex8423 Aprile 2015, 15:44 #2
così imparano a scroccare a sbaffo le wifi, se hanno i soldi per Apple li hanno anche per il traffico dati!!!!!



PS, sto scherzando, ho un iPhone



tornando seri, immagino che uscirà a breve il fix
bobafetthotmail23 Aprile 2015, 16:17 #3
WiFiGate che permetteva ad un attaccante di creare un network WiFi e obbligare un dispositivo esterno a connettersi alla rete. Combinando questa vulnerabilità con quella appena scoperta,
Un minimo di background.
dall'articolo della vulnerabilità: https://www.skycure.com/blog/wifiga...-wi-fi-attacks/

Si parla di carrier (compagnie di telefonia) che aggiungono delle liste di hotspot "approvati" e ai quali il dispositivo iOS si connette automaticamente.
Ovviamente non c'è modo di disattivare sta cosa.

Basta che un malintenzionato analizzi le liste e copi i nomi (e le password, che sono in chiaro nelle liste dentro al dispositivo... uuuh, la sicurezza ragazzi), e può fare un hotspot wifi uguale.

Non essendo tecnicamente un bug, non sembra che sia stato patchato.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^