1500 app di iOS soggette ad una vulnerabilità HTTPS

1500 app di iOS soggette ad una vulnerabilità HTTPS

Una società di sicurezza informatica individua una vulnerabilità presente in oltre 1500 app per iOS. La causa del problema è già stata eliminata, ma molte applicazioni non sono ancora state aggiornate

di pubblicata il , alle 17:13 nel canale Sicurezza
AppleiOS
 

Qualcosa come 1500 app di iOS sono soggette ad una vulnerabilità che potrebbe consentire l'aggiramento dei meccanismi di sicurezza HTTPS e il furto di password ed altri dati sensibili: è quanto individuato dalla società di sicurezza SourceDNA, la quale afferma che il problema è imputabilead AFNetworking, una libreria open-source che molte applicazioni usano per le funzioni di networking.

La versione 2.5.1 rilasciata a gennaio ha accidentalmente introdotto un bug che lascia modo ad un malintenzionato presente sulla stessa rete WiFi (o facente uso di un altro sistema che permette di monitorare le connessioni) di presentare un certificato SSL fasullo e quindi decriptare con successo informazioni HTTPS.

Questo problema fa sì che AFNetworking salti un controllo di validazione. Il problema è stato risolto con la versione 2.5.2 circa tre settimane fa, ma moltissime app di iOS ancora fanno uso della vecchia versione di codice. Tra le applicazioni ancora vulnerabili vi sono quelle di Alibaba, Uber, Movies by Flixster e Citrix OpenVoice Audio Conferencing.

SourceDNA ha affermato di aver analizzato 1 milione di app sull'oltre 1,4 milioni di titoli presenti su App Store, incluse tutte le app gratuite e solo le prime 5000 in classifica tra le app a pagamento. Le app vulnerabili non solo fanno uso della versione obsoleta di AFNetworking, ma non sono in grado nemmeno di usare il meccanismo di pinning dei certificati, che permette solamente certificati specifici per HTTPS. La funzione di pinning è disattivata di default in AFNetworking.

Le principali compagnie e le software house titolari delle app incriminate sono state già contattate affinché possano risolvere il problema nel più breve tempo possibile. Realtà come Uber, Yahoo e Microsoft hanno già apportato le necessarie correzioni, sebbene alcune delle loro app siano ancora vulnerabili. In ogni caso è possibile utilizzare uno strumento di ricerca, disponibile a questa pagina web, per sapere se una determinata app sia ancora vulnerabile o sia già stata aggiornata.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^