Ancora un buco in iOS?

Con un apposita app si possono carpire informazioni da un iPhone o un iPad, senza che l'utente si accorga di nulla. Ma il problema sicurezza non riguarda solo Apple. Che pure è al momento nell'occhio del ciclone

Roma – I ricercatori di FireEye, specializzati in sicurezza informatica, hanno realizzato un’app proof-of-concept che dimostra una vulnerabilità di iOS: attraverso il codice da loro sviluppato è possibile carpire tutto quanto digitato su uno smartphone o un tablet con la Mela , e comunicarle in remoto a un server messo in piedi dall’attaccante.

Il problema scovato da FireEye è particolarmente pernicioso poiché la security firm ha dimostrato nei suoi test come sia possibile installare l’app spiona in terminali dotati di firmware originale, senza alcun jailbreak, e che è possibile far proseguire il keylogging di quanto digitato anche in background mentre il focus del sistema operativo è su un’altra applicazione. Addirittura, riferisce Ars Technica , FireEye sarebbe riuscita a infiltrare un’app nell’App Store ufficiale con le caratteristiche descritte: la sparizione del post sul blog aziendale che raccontava questa impresa è probabilmente legato al fatto che ora FireEye sta collaborando con Apple alla risoluzione del problema.

Le versioni del sistema operativo coinvolte comprendono iOS 7.0.4, 7.0.5 e anche la recentissima 7.0.6, nonché le versioni 6.1.x presenti sui più vecchi dispositivi. Chiunque monti una versione tra queste potrebbe essere indotto (via phishing?) a scaricare un’app malevola, anche dall’App Store, e rimanere vittima del problema: anche disabilitando l’attività in background delle app, sottolinea FireEye, non ci sono garanzie che venga mitigato il rischio. Ci sono attività, come la riproduzione musicale, che sfruttano funzioni dell’OS che permettono di agire indisturbati in background, e chi tenti di sfruttare questa vulnerabilità potrebbe approfittare di questi stratagemmi per superare i blocchi e le contromisure attuate.

È il secondo problema serio che riguarda la piattaforma mobile di Apple portato alla luce nel giro di poche ore : generalmente iOS è ritenuto sicuro, ma è evidente che come tutti i sistemi informatici soffre di bug e vulnerabilità che possono creare seri grattacapi a Cupertino e ai suoi clienti. Il panorama mobile è d’altronde da qualche tempo al centro delle attenzioni dei criminali informatici , vista l’esplosione di popolarità degli smartphone tra i consumatori e il crescente numero di attività svolte tramite gli schermi del telefono. Kaspersky Lab, nota azienda produttrice di prodotti anti-malware, ha condotto una sua ricerca sulle dimensioni del fenomeno, particolarmente preoccupante nella madrepatria Russia, scoprendo che sono già migliaia le infezioni avvenute e che hanno causato danni. Per ora la vittima designata di questi attacchi è stato Android, che si porta dietro alcuni problemi noti , con oltre il 98 per cento delle infezioni , ma è presto per decretare se davvero l’OS Google sia effettivamente più prono di altri a essere sfruttato per questi scopi.

Tornando a Apple, fa ancora discutere la mancanza di una patch per OSX per il bug noto come “gotofail”: non è chiaro cosa impedisca a Apple di rilasciare un aggiornamento risolutivo in tempi brevi, e il fatto che già circolino degli exploit d’esempio non fa altro che rendere più urgente sistemare al più presto il problema sui Mac.

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Gianluca70 scrive:
    Bella offerta commerciale
    A me pare tanto marketing...http://arstechnica.com/gadgets/2014/02/everything-you-wanted-to-know-about-the-security-focused-blackphone/
  • io tu scrive:
    Phil Zimmermann vuol dire sicurezza vera
    Se è ideato da Phil Zimmermann, l'inventore del PGP, allora il termine sicuro è da pensare a livello militare e non a livello di impostazioni di privacy di facebook/android. Svegliatevi!
    • collione scrive:
      Re: Phil Zimmermann vuol dire sicurezza vera
      - Scritto da: io tu
      di privacy di facebook/android.si ok, però il sistema operativo del blackphone è proprio androidevidentemente non è così colabrodo e nemico della privacy come massimino e soci vanno raccontando in giro
      • aphex_twin scrive:
        Re: Phil Zimmermann vuol dire sicurezza vera
        - Scritto da: collione
        - Scritto da: io tu


        di privacy di facebook/android.

        si ok, però il sistema operativo del blackphone è
        proprio
        android
        No, é un Android con le pezze al qlo :)
        evidentemente non è così colabrodo e nemico della
        privacy come massimino e soci vanno raccontando
        in
        giroQuindi questo PrivateOS é completamente inutile ?https://www.blackphone.ch/company/ , chiamali e spiega loro che han messo delle pezze li dove non servivano.Poi torna a raccontarci cosa ti hanno risposto. :D
        • krane scrive:
          Re: Phil Zimmermann vuol dire sicurezza vera
          - Scritto da: aphex_twin
          - Scritto da: collione

          - Scritto da: io tu


          di privacy di facebook/android.



          si ok, però il sistema operativo del

          blackphone è proprio android
          No, é un Android con le pezze al qlo :)

          evidentemente non è così colabrodo e nemico
          della

          privacy come massimino e soci vanno
          raccontando

          in

          giro

          Quindi questo PrivateOS é completamente inutile ?
          https://www.blackphone.ch/company/ , chiamali e
          spiega loro che han messo delle pezze li dove non
          servivano.

          Poi torna a raccontarci cosa ti hanno risposto.
          :DLoro stessi dicono che non e' a prova di CIA.
        • gnammolo scrive:
          Re: Phil Zimmermann vuol dire sicurezza vera
          aphex il problema della privacy android deriva dai servizi google e non da android quanto tale
        • collione scrive:
          Re: Phil Zimmermann vuol dire sicurezza vera
          vabbè solita sparata da macacorispondo con due interventi di altri utentihttp://punto-informatico.it/b.aspx?i=4000000&m=4000888#p4000888http://punto-informatico.it/b.aspx?i=4000000&m=4000397#p4000397
        • collione scrive:
          Re: Phil Zimmermann vuol dire sicurezza vera
          come ho già risposto prima ( ma chissà perchè hanno eliminato il mio commento ) la risposta alla tua domanda si trova quihttp://punto-informatico.it/b.aspx?i=4000000&m=4000888#p4000888http://punto-informatico.it/b.aspx?i=4000000&m=4000397#p4000397
  • Il conte canta scrive:
    Mah
    Non so ma credo che se criPta telefonate e sms deve farlo con un altro dispositivo identico. Come è accennato nell articolo.
  • daniele m scrive:
    cosa fa di speciale?
    cosa fa di speciale questo costoso telefono?é solo perché ha una versione di android modificata, senza acXXXXX da parte di NSA? Il mio Jolla, qualche altro cellulare con sistema operativo open source tipo firefox os, o un vecchio nokia ad esempio dovrebbero essere altrettanto sicuri dal punto di vista del sistema operativo...cripta le chiamate e gli sms? si ma poi funziona solo con altri telefoni simili, o con tutti?
    • krane scrive:
      Re: cosa fa di speciale?
      - Scritto da: daniele m
      cosa fa di speciale questo costoso telefono?
      é solo perché ha una versione di android
      modificata, senza acXXXXX da parte di NSA? Il mio
      Jolla, qualche altro cellulare con sistema
      operativo open source tipo firefox os, o un
      vecchio nokia ad esempio dovrebbero essere
      altrettanto sicuri dal punto di vista del sistema
      operativo...
      cripta le chiamate e gli sms? si ma poi funziona
      solo con altri telefoni simili, o con tutti?A quando ho letto il servizio in abbonamento consiste in un'app che puoi anche far scaricare ai tuoi contatti.
    • 2014 scrive:
      Re: cosa fa di speciale?
      - Scritto da: daniele m
      cosa fa di speciale questo costoso telefono?
      é solo perché ha una versione di android
      modificata, senza acXXXXX da parte di NSA? Il mio
      Jolla, qualche altro cellulare con sistema
      operativo open source tipo firefox os, o un
      vecchio nokia ad esempio dovrebbero essere
      altrettanto sicuri dal punto di vista del sistema
      operativo...Ce ne sono più o meno tre di sistemi operativi in un telefono, pensa quanto può essere sicuro un firefox os...
      • bubba scrive:
        Re: cosa fa di speciale?
        - Scritto da: 2014
        - Scritto da: daniele m

        cosa fa di speciale questo costoso telefono?

        é solo perché ha una versione di android

        modificata, senza acXXXXX da parte di NSA? Il
        mio

        Jolla, qualche altro cellulare con sistema

        operativo open source tipo firefox os, o un

        vecchio nokia ad esempio dovrebbero essere

        altrettanto sicuri dal punto di vista del
        sistema

        operativo...

        Ce ne sono più o meno tre di sistemi operativi in
        un telefono, pensa quanto può essere sicuro un
        firefox
        os...io lascierei solo il firmware nel baseband, e il resto elettromeccanico.In stile [img]http://www.chinellitecnologie.it/wp-content/uploads/2012/01/Telefono-Siemens-a-disco-.jpg[/img], per capirci.Cosi si che e' sicuro.
        • collione scrive:
          Re: cosa fa di speciale?
          - Scritto da: bubba
          io lascierei solo il firmware nel basebandpraticamente lasceresti il pezzo peggiore :Dscherzi a parte, credo che bisognerebbe fare pressioni sulle aziende per rendere opensource gli os e i programmi che girano sui proXXXXXri basebandaltrimenti diventa inutile parlare di privacy, di os hardened, di silent circle e compagnia
          • bubba scrive:
            Re: cosa fa di speciale?
            - Scritto da: collione
            - Scritto da: bubba


            io lascierei solo il firmware nel baseband

            praticamente lasceresti il pezzo peggiore :D
            ma e' l'unico che non puoi evitare :) (beh, harald welte a parte)
            scherzi a parte, credo che bisognerebbe fare
            pressioni sulle aziende per rendere opensource
            gli os e i programmi che girano sui proXXXXXri
            basebandsi sta' gia facendo nei fatti da anni... ma a "nessuno" piace che gli si tocchi il pezzo piu' NDA della telefonia.
          • 2014 scrive:
            Re: cosa fa di speciale?
            - Scritto da: bubba
            - Scritto da: collione

            - Scritto da: bubba




            io lascierei solo il firmware nel baseband



            praticamente lasceresti il pezzo peggiore :D


            ma e' l'unico che non puoi evitare :)Già, neanche sul raspberry pi la Broadcom ha pubblicato la parte di boot...
          • collione scrive:
            Re: cosa fa di speciale?
            l'unico SoC ARM ad avere una completa documentazione è l'iMX.6 di Freescale
          • bubba scrive:
            Re: cosa fa di speciale?
            - Scritto da: collione
            l'unico SoC ARM ad avere una completa
            documentazione è l'iMX.6 di
            Freescaleammettendo sia vero, sfortunatamente non e' un ASIC digital baseband chip .. ma un proXXXXXre general purpose.
          • collione scrive:
            Re: cosa fa di speciale?
            - Scritto da: bubba
            si sta' gia facendo nei fatti da anni... ma a
            "nessuno" piace che gli si tocchi il pezzo piu'
            <s
            NDA </s
            NSA della
            telefonia.FIXED 8)
          • bubba scrive:
            Re: cosa fa di speciale?
            - Scritto da: collione
            - Scritto da: bubba


            si sta' gia facendo nei fatti da anni... ma a

            "nessuno" piace che gli si tocchi il pezzo
            piu'

            <s
            NDA </s
            NSA della

            telefonia.

            FIXED 8)vuoi dire che un ragazzotto tetesco ha beffato l'NSA? :)
    • benkj scrive:
      Re: cosa fa di speciale?
      Puoi fare la stessa cosa con qualsiasi nexus: ci metti ParanoidAndroid e qualche app sicura ed il gioco e' fatto! se pero' vuoi usare feisbuk...
  • Stefano B scrive:
    Caro?
    Per chi ha qualcosa da nascondere 12 dollari al mese cosa possono essere?
Chiudi i commenti