Apple: scoperta vulnerabilità critica nel browser di iOS

Di tanto in tanto, il report di uno sviluppatore indipendente se ne esce dal nulla avvertendo i virtuali astanti dell’esistenza di un determinato bug zero – day in un determinato programma (sistema operativo, app, gioco eccetera) in grado, potenzialmente, di spalancare le porte (in gergo backdoor) a script malevoli capaci di sottrarre illegalmente, agli ignari utenti, dati sensibili.

Android di Google e iOS di Apple, l’accoppiata di sistemi operativi più in voga del momento, sono le solite vittime di tali exploit malevoli. Una delle minacce più recenti che è stata portata alla luce può addirittura compromettere seriamente i dati sensibili degli utenti Apple, fruitori di iOS.

iOs vulenarible

 

Uno sviluppatore indipendente di Twitterrific (client Twitter di terze parti), Craig Hockenberry, ha avvertito l’intera community Apple che le applicazioni aventi facoltà di aprire schede del browser dal proprio interno possono loggare l’intera attività delle sessioni attive, con una semplicità disarmante. Il cosiddetto ‘keylogging, per chi non lo conoscesse, è l’atto di monitorare tutte le attività di digitazione e le operazioni di un dato dispositivo, inviando i dati raccolti senza conenso informato ad una postazione remota, in assoluta discrezione.

Nel 99,9 % dei casi, l’intento di tale pratica è doloso. Tutte le apps di iOS 7 e iOS 8 si dice siano in grado di mettere in atto il keylogging silenziosamente (non c’è nessun riscontro, ancora, sulle versioni antecedenti di iOS), ma Hockenberry ha rivelato che la mancanza non sia attribuibile a un difetto del motore WebKit di Safari in sè e di per sè, quanto piuttosto a un exploit di JavaScript, che aggira il protocollo di sicurezzaOAuth aperto nel browser Safari.

Hockenberry ha anche rilasciato un breve video in cui dimostra quanto asserito simulando un attacco al browser di iOS tramite una app, riuscendo con successo a sottrarre alcune credenziali di accesso, vale a dire un nome utente e una password sensibili. Egli sostiene, inoltre, che sarà piuttosto difficile per Apple fronteggiare questo problema, essendo il lavoro di monitoraggio di tutte le applicazioni censite nell’Appstore particolarmente gravoso. L’unica raccomandazione è quella di aggiornare sempre Apple iOS, compreso il motore di rendering JavaScript WebKit, unitamente ai pacchetti UIWebView. Cupertino dovrebbe, oltre a ciò, supportare pienamente tutte le direttive di sicurezza del protocolloOAuth‘, ancora non completamente supportate, in modo da proteggere i propri utenti dal comportamento anomalo di applicazioni dannose.

Agli utenti, d’altra parte, si consiglia di pensarci due o tre volte prima di digitare le proprie credenziali di accesso e dati personali sensibili in qualsiasi applicazione diversa da Apple Safari.

A buon intenditor…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *