C'è una vera e propria voragine sulla sicurezza e la privacy degli iPhone. A lanciare l'allarme - scrive TMNews - è una società specializzata sulla sicurezza informatica, la FireEye, che per dimostrare la grave falla ha creato una "app", compatibile per l'ultimo modello di melafonimo, in grado di registrare tutti i comandi digitati dall'utente sullo schermo touch. Perfino l'uso del tasto "Home", e poi trasmettere il tutto a un server remoto nella totale inconsapevolezza del proprietario.
FireEye ha sviluppato un'applicazione proof-of-concept che potrebbe, in teoria, essere eseguita in background. "Potenziali aggressori - affermano i tecnici di FireEye in un articolo - potrebbero usare informazioni di questo tipo per ricostruire tutto quello che viene digitato da un utente". La società precisa che sta collaborando con Apple sulla questione, e che questa app è compatibile con la versione 7.0.4 di iOS, il sistema operativo dei vari iPhone e iPad, e con l'ultimo modello di punta, il 5s anche se non vi è stato effettuato il "jailbreak".
Il tutto è emerso poco dopo che il gigante informatico californiano ha messo a disposizione aggiornamenti sia del sistema operativo per dispositivi mobili, sia per il sistema operativo dei Mac, dettati proprio dall'esigenza di tamponare alcune falle sulla sicurezza. Apple però ha fornito informazioni solo limitate sulla questione, spiegando che "per la tutela dei nostri utenti non riveliamo, discutiamo o confermiamo problemi di sicurezza fino a quando non è stata effettuata una indagine completa e gli eventuali aggiornamenti necessari non sono disponibili".
Nella documentazione fornita con l'ultimo aggiornamento di iOS, la versione 7.0.6, che si installa a partire dagli iPhone 4 e dagli iPad 2, Apple parla del rischio che "un aggressore con una posizione di rete privilegiata possa ottenere o modificare dati". Rischio che è stato affrontato intervenendo sui passi di validazione dei protocolli crittografici (SSL/TLS). Secondo FireEye software "maliziosi" di monitoraggio inconsapevole dell'utente possono essere mascherati ad esempio da applicativi di musica, e raccogliere informazioni in background.
Prima che il problema venga risolto "l'unico modo per gli utenti di mettersi al riparo è quello di chiudere le app in background dal task manager". In pratica bisogna premere due volte velocemente il tasto Home e far scorrere verso l'alto la app da chiudere. Si noti che la demo sfrutta l'ultima versione 7.0.4 del sistema iOS su un dispositivo iPhone 5s non-jailbroken. Sulla base dei risultati, i potenziali aggressori possono utilizzare phishing per indurre in errore la vittima ad installare una app maligna o sfruttare a distanza una vulnerabilità di qualche altra applicazione.
Fonte: FireEye
Via: TMNews
Nessun commento:
Posta un commento