FREAK, vulnerabili anche le app mobile

La saga FREAK continua con l'avvistamento della vulnerabilità sulle app per smartphone. Il rischio è la compromissione di comunicazioni di dati finanziari, biometrici o comunque sensibili
La saga FREAK continua con l'avvistamento della vulnerabilità sulle app per smartphone. Il rischio è la compromissione di comunicazioni di dati finanziari, biometrici o comunque sensibili

Col passare dei giorni aumenta la consapevolezza riguardo all’esposizione dei gadget tecnologici ai pericoli di FREAK , l’attacco capace di sfruttare una vulnerabilità nel protocollo SSL per forzare l’utilizzo di chiavi crittografiche deboli e facilmente crackabili . Il rischio di compromissione riguarda anche le app mobile più popolari, ha avvertito FireEye.

I ricercatori hanno preso in esame le app Android e iOS più popolari, dove “popolare” equivale ad aver raccolto più di un 1 milione di download: in tutto, l’analisi ha riguardato circa 11mila app su Google Play e più di 14mila app per iOS.

Nel primo caso, sostiene la security enterprise , le app identificate come vulnerabili all’attacco FREAK sono 1228, con la vulnerabilità derivante o dall’uso di una versione fallata della libreria OpenSSL o dalle comunicazioni con un server HTTPS affetto dal baco.

Per quanto riguarda iOS, invece, le app vulnerabili sono state 771: sui gadget Apple la fonte del problema è l’uso di una versione dell’OS non aggiornata, e in sette casi le app sono risultate vulnerabili anche dopo l’aggiornamento a iOS 8.2 sempre a causa dell’utilizzo di un componente OpenSSL non aggiornato.

FireEye disegna scenari preoccupanti per le possibili conseguenze dell’utilizzo delle app vulnerabili a FREAK: un malintenzionato potrebbe approntare un attacco di tipo man-in-the-middle (tramite spoofing o DNS hijacking ) intercettando il traffico cifrato fra la app del client e il server.

Una volta registrate le comunicazioni criptate con le chiavi deboli, avverte FireEye, ci sarà tutto il tempo per decifrare i dati in differita. A rischio sono quindi informazioni finanziarie, sulla salute e altre tipologie di dati sensibili.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

19 03 2015
Link copiato negli appunti