Migliaia di applicazioni iOS e Android vulnerabili a FREAK
I ricercatori di sicurezza di FireEye hanno di recente scoperto che moltissime delle applicazioni più diffuse su iOS e Android sarebbero vulnerabili a FREAK (Factoring RSA-Export Keys), una vulnerabilità presente da tempo e riapparsa ufficialmente nelle scorse settimane. Il computo sarebbe ben superiore a mille, e solo se vengono considerate le più diffuse di App Store e Google Play.
Nello specifico, troviamo 1.288 app fra quelle per Android che hanno superato la soglia del milione di download, mentre su iOS sono 771 fra le prime 14.079 di App Store. Su entrambe le piattaforme, le app vulnerabili utilizzano librerie crittografiche violabili per connettersi a server con chiavi di cifratura deboli, ad oggi apparentemente ancora in uso.
FREAK è una vulnerabilità che ci portiamo dietro dagli anni '90 dovuta ad alcune regole dei precedenti governi americani che richiedevano un basso livello di protezione per i software esportati all'estero. Sfruttando la falla, ci si può posizionare con un attacco man-in-the-middle fra server e client (ad esempio un browser o un'app), entrambi vulnerabili, impostando un livello di crittografia basso a 512-bit per riuscire ad ottenere dati sensibili archiviati nei sistemi.
Nel caso delle app iOS e Android, "si può eseguire un attacco FREAK contro una celebre applicazione per lo shopping online per rubare le credenziali di log-in di un utente e le informazioni della sua carta di credito", hanno scritto Yulong Zhang, Zhaofeng Chen, Hui Xue e Tao Wei in un post sul blog ufficiale di FireEye. "Fra le altre app vulnerabili troviamo software del settore medico, produttivo e finanziario".
Sebbene Apple abbia già introdotto un fix su iOS 8.2 per debellare il problema, 7 applicazioni fra le 771 segnalate dalla società di sicurezza sono vulnerabili a FREAK anche con la versione più recente del sistema operativo. Nelle versioni precedenti invece tutte le 771 sono ancora violabili. Ma FireEye non ha specificato i titoli delle app "infette", lasciando ai singoli utenti il compito di chiedere al relativo sviluppatore se i propri dati introdotti siano al sicuro o meno.
Sony FE 16-25mm F2.8 G: meno zoom, più luce 
Motorola edge 50 Pro: design e display al top, meno il prezzo! Recensione
Ecovacs Goat G1-800, mettiamo alla prova il robot tagliaerba facile ed efficace
iPhone 16 Pro, un nuovo rivestimento per contrastare uno dei maggiori difetti della fotocamera
I TV TCL con tecnologia Mini LED hanno ora prezzi interessanti: eccoli a partire da 599€ per un 50 pollici
HUAWEI dice addio alla storica serie P. Benvenuta HUAWEI Pura 70
Star Wars Outlaws: i giocatori incontreranno Jabba the Hutt nell'esperienza di gioco principale
Vulnerabilità grave su iMessage: Trust Wallet lancia l'allarme, ma è polemica sulle modalità di divulgazione
Arriva Insta360 X4 per realizzare veri video a 360° in 8K. Ecco tutte le sue caratteristiche
AMD presenta i Ryzen PRO 8000: sono meglio delle CPU Intel con l'IA
Iliad: la prima offerta fibra in Italia con router Wi-Fi 7 incluso
La California stabilisce un nuovo record con 30 giorni di energia rinnovabile al 100%
Steam FPS Fest: un'altra settimana di sconti a tema, stavolta tocca agli shooter
CATL, ecco il primo sistema di accumulo con degrado zero dopo 5 anni
SteganoAmor, la campagna malware che nasconde codice dannoso nelle immagini
NASA: il detrito spaziale caduto in Florida era effettivamente legato alla Stazione Spaziale Internazionale
Maserati presenta la GranCabrio Folgore: la prima decappottabile full electric di lusso sul mercato
16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSebbene Apple abbia già introdotto un fix su iOS 8.2 per debellare il problema
Questa è la dimostrazione che avere in mano un terminale che non puoi aggiornare (oppure non vuoi), non è un grande vantaggio quando di mezzo ci sono acquisti con carta di credito.
Vabbè.....la mia carta ha il token integrato, ho una protezione aggiuntiva.
E che me ne frega
E che me ne frega a me, io ho Windows Phone ... ah ah ah ahQuesto succede quando negli store si possono pubblicare app senza nessun controllo.
Sempre più convinto della superiorità di windows phone ....
Cmq sempre meno applicazioni (soprattutto giochi) hanno questo bug.
quoto... ah mah osx, ios, linux, android, unix "non hanno virus" (cit.)
(da intendere come: vulenrabilita', falle, malware, bugs...)
p.s.
prima che rispondete...so' pure che un OS piu' ha market share piu' e' esposto a questi problemi (vedi windows desktop)
Ma allora se lo sai perché lo ricordi?
Tanto chi usa IOS e OSX continuerà ad usarli per la loro (QUASI) sicurezza e se ne fotte del perché sono più sicuri.
Che poi, windows Desktop è esposto a certi problemi per la mancanza di dare un taglio netto con il passato.
Metti tutto su store e poi ne riparliamo se è ancora un colabrodo perché il .exe di turno lo installi, ti installa la tool bar e sminchia il sistema.
Questo succede quando negli store si possono pubblicare app senza nessun controllo.
Sempre più convinto della superiorità di windows phone ....
da quel che si legge dall'articolo, il problema è legato più al sistema operativo che non all'app stessa; non capisco quindi il discorso del controllo sulle app, cosa che, tra l'altro, Apple fa da sempre.
@ djfix13
Io non andrei a dirlo in giro...Questo succede quando negli store si possono pubblicare app senza nessun controllo.
Sempre più convinto della superiorità di windows phone ....
https://youtu.be/u-UC4hHh6A0?t=2m6s
Ti sfugge vero che Linux è presente sulla maggior parte dei server del web?
Mi sembra tanto una cosa da Russi, per queste cose loro hanno una mente diabolica e non c'è il sistema sicuro, c'è il sistema diffuso ed è quello che a loro interessa, visto che si parla di soldi, ricatti e riscatti..
Solo lì?
E nei NAS no?
E sulla stazione spaziale poi non vorrai mica piazzare PC win, il giorno dopo hai la Cristoforetti sul tetto di casa che ti chiede una scala per scendere...
Dove conta davvero qualcosa, windows è inesistente...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".