Su iOS il phishing è nativo

Un ricercatore identifica un pericoloso bug all'interno del client email di iOS, avvertendo Apple del problema. Cupertino lo ignora e il ricercatore decide di pubblicare il codice per sfruttarlo
Un ricercatore identifica un pericoloso bug all'interno del client email di iOS, avvertendo Apple del problema. Cupertino lo ignora e il ricercatore decide di pubblicare il codice per sfruttarlo

Il client email nativo di iOS (8.3) è affetto da una pericolosa vulnerabilità di sicurezza, un bug che potrebbe permettere a un malintenzionato di condurre una campagna di phishing “a colpo sicuro” con la compromissione di password e credenziali di accesso all’ecosistema blindato di Cupertino.

La falla, dice il ricercatore che l’ha scoperta, è stata identificata a gennaio 2015 e ne è stata prontamente comunicata l’esistenza a Apple; a tutt’oggi, però, la vulnerabilità è ancora presente su iOS, e ora chiunque può consultare il codice di un “exploit kit” in grado di sfruttarla per rubare le password degli utenti.

Il baco consiste nel caricamento di codice HTML da remoto durante la visualizzazione di una email nel client di iOS, una possibilità che non dovrebbe esistere e che permette, grazie all’uso del kit di cui sopra, di realizzare una funzionalità “raccogli-password” mascherata da pop-up di accesso a iCloud simile a quello legittimo.

Il ricercatore evidenzia la pericolosità del baco nell’ottica di campagne di phishing mirate contro gli utenti di iOS e dei gadget mobile di Apple, uno strumento malevolo potenzialmente più efficace delle tradizionali email spazzatura con form integrato e più facilmente adattabile in “tempo reale” alle nuove esigenze dei cyber-criminali.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

10 06 2015
Link copiato negli appunti