Android cade vittima di un nuovo baco “apocalittico”, nelle sue conseguenze potenziali, anche se il nuovo caso non sembra riguardare un rischio di (in)sicurezza quanto piuttosto una minaccia diretta e pericolosa alla privacy dell’utente.
Il bug ( CVE-2014-6041 ) è presente su Android 4.2.1 (e versioni precedenti) e coinvolge una percentuale di gadget Android stimata nel 75 per cento del totale ; sfruttando la vulnerabilità, un sito Web appositamente creato potrebbe “spiare” sui contenuti di tutte le altre pagine Web attualmente aperte sul browser, un’eventualità che i tecnici che si occupano di sicurezza hanno già descritto come un “disastro” dal punto di vista della riservatezza.
Un listato JavaScript contenente codice opportunamente scritto sarebbe in grado di bypassare i meccanismi di Same-Origin Policy (SOP) del browser carpendo ogni genere di informazione, dai cookie di autenticazione al contenuto delle email aperte sulla pagina di una webmail, e così via.
A contribuire alla pericolosità del nuovo bug ci hanno pensato gli sviluppatori di Metasploit, toolkit usato per test di penetrazioni Web che è stato appunto aggiornato con un stumento funzionante in grado di trarre vantaggio dalla vulnerabilità. I ricercatori dicono di aver già verificato l’efficacia del codice (potenzialmente) malevolo su molti terminali inclusi Qmobile Noir A20 (Android browser 4.2.1), Sony Xperia, Samsung Galaxy, HTC e Motorola.
In tutto questo si innesta anche una curiosa polemica sulla paternità della scoperta: Rafay Baloch se la attribuisce, fornendo come prova una serie di email scambiate con i tecnici Google, ma l’azienda avrebbe dapprima negato la riproducibilità del bug e in seguito anche l’eventualità che Baloch si aggiudicasse una delle taglie che Big G pone sulla testa dei bug più perniciosi del suo software.
Alfonso Maruccia
-
oste
com'è il vino?odio questa scontatissima frase ma è difficile dire altro con queste informazioni.44 bertucce in fila per 6 col resto di 2ma perchè l'han fatto?
Su questo forum tutti gli espertoni di Apple giuravano che era tutto a posto.Quindi perchè l'han fatto? (newbie)Mistero! :oE non venitemi a dire che l'han fatto perchè i clienti son scemi, eh (rotfl)...Re: ma perchè l'han fatto?
- Scritto da: ...> Su questo forum tutti gli espertoni di Apple> giuravano che era tutto a posto.> Quindi perchè l'han fatto? (newbie)Ad essere onesti, la 2-factor authentication serve ad evitare che il furto di username+password, ovunque sia avvenuto, non sia sufficiente ad accedere, ma che serva un ulteriore fattore (es: codice su telefono o per sms).Questo non vuol dire automaticamente iCloud colabrodo, vuol dire che sono tra gli ultimi a fornire una 2-factor authentication completa.bradipaoRe: ma perchè l'han fatto?
- Scritto da: bradipao> Ad essere onesti, la 2-factor authentication> serve ad evitare che il furto di> username+passwordEsatto.E qualsiasi azienda che tiene alla sicurezza la deve rendere obbligatoria.Se un'azienda non lo fa è un'azienda che guarda solo incrementare il numero di utenti a scapito della loro sicurezza....Re: ma perchè l'han fatto?
obbligatoria? no grazie, i dati sono miei e non voglio dover inserire 8 passaword per accederci...NemoTizenPaypal transazione duplicata
Paypal dovrebbe tacere. Ha duplicato nei giorni scorsi una mia transazione con la quale ho comprato un software on-line. Tre giorni dopo e senza motivo mi sono trovato il doppio addebito.Un'anomalia riconosciuta anche dal tecnico del loro help desk. Sto ancora aspettando che mi diano spiegazione.Spero che Apple dia loro una lezione.user01Re: Paypal transazione duplicata
- Scritto da: user01> Spero che Apple dia loro una lezione.prima però devi comprarti l'iPhonePasta alla PirateriaRe: Paypal transazione duplicata
gia fatto :-)user01Re: Paypal transazione duplicata
- Scritto da: user01> gia fatto :-)e te ne vanti? Che coglionazzo....a meno che tu non sia XXXXXo, allora sei scusato....Re: Paypal transazione duplicata
- Scritto da: user01> Paypal dovrebbe tacere. Ha duplicato nei giorni> scorsi una mia transazione con la quale ho> comprato un software on-line.> > Spero che Apple dia loro una lezione.Stai già dando per scontato che Apple non farà mai errori del genere sulle transazioni. Potrebbe essere tranquillamente peggio.bradipaoRe: Paypal transazione duplicata
- Scritto da: bradipao> - Scritto da: user01> > Paypal dovrebbe tacere. Ha duplicato nei giorni> > scorsi una mia transazione con la quale ho> > comprato un software on-line.> > > > Spero che Apple dia loro una lezione.> > Stai già dando per scontato che Apple non farà> mai errori del genere sulle transazioni. Potrebbe> essere tranquillamente> peggio.hai ragione. Io dico solo che se un nuovo soggetto scende in campo nel commercio elettronico tutti noi utenti ne abbiamo giovamento. La concorrenza serve e costringera' chi si comporta in modo scorretto a fare maggiore attenzione.E mi sembra gia' di intravvedere un certo nervosismo nei comunicati di paypal e nei messaggi dei suoi portabandiera. O sbaglio?user01Re: Paypal transazione duplicata
- Scritto da: user01> hai ragione. Io dico solo che se un nuovo> soggetto scende in campo nel commercio> elettronico tutti noi utenti ne abbiamo> giovamento. La concorrenza la concorrenza di un metodo di pagameto che gira su tutti i sistemi del pianeta, fissi o mobili dovrebbe come MINIMO fare altrettanto.Pasta alla PirateriaRe: Paypal transazione duplicata
- Scritto da: user01> Paypal dovrebbe tacere. Ha duplicato nei giorni> scorsi una mia transazione con la quale ho> comprato un software on-line. Tre giorni dopo e> senza motivo mi sono trovato il doppio> addebito.> Un'anomalia riconosciuta anche dal tecnico del> loro help desk. Sto ancora aspettando che mi> diano> spiegazione.> > Spero che Apple dia loro una lezione.Anche a me ieri paypal mi ha rubato 10'000.Anche un amico del cognato della sorella del nonno e hanno rubato 10'000lo ammetto sto trollando, in realtà PayPal in 15 anni di utilizzo non ho mai avuto un solo problema siede utente finale che da commerciante.FabrizioRe: Paypal transazione duplicata
Mai avuto problemi ? toh guarda cosa é saltato fuori spendendo 20 secondi del mio tempo:http://www.scmagazineuk.com/bugs-hit-global-payment-company-paypal/article/321828/ :|Eppure sembravi cosí sicuro 8)aphex_twinRe: Paypal transazione duplicata
Quindi ricapitolando: se APPLE fa un servizio ALLORA gli altri fanno schifo ed Apple è meglio.Figo. Tipo il cloud, vero?JaguaroRe: Paypal transazione duplicata
Cosa vuoi che ti dica? Beato te. Ho sempre inviadiato chi ha tante sicurezze e fiducia negli altri.user01Re: Paypal transazione duplicata
- Scritto da: user01> Cosa vuoi che ti dica? Beato te. Ho sempre> inviadiato chi ha tante sicurezze e fiducia negli> altri.scusa, mi riferivo a Fabrizio.user01Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 18 set 2014Ti potrebbe interessare