Nell'Apple Store 70 app spia vulnerabili: basta riconoscerle

08 febbraio 2017 ore 11:59, Micaela Del Monte
Quante cose "affidiamo" al web? Password importanti, chiavi della banca, indirizzi e tanto altro. Immaginate se tutti questi "dati sensibili" venissero affidate alle persone sbagliate e ad hacker che hanno il potere di usarle a nostra insaputa e per farci un danno. Non è poi così lontano come pensiero tanto che #WillStrafach di Verify.ly ha evidenziato la #vulnerabilità di ben 70 #applicazioni iOS scaricabili dall'Apple Store che permetterebbero agli hacker di poter violare la #privacy degli utenti.

Nell'Apple Store 70 app spia vulnerabili: basta riconoscerle
Lo ha fatto su twitter: '76 Popular Apps Confirmed Vulnerable to Silent Interception of TLS-Protected Data', avvisando di aver pubblicato la lista completa su medium.com. Queste applicazioni, che tra l'altro hanno registrato circa 18 milioni di download sull'apple Store, inviavano agli hacker informazioni circa dati finanziari, dati medici, ma anche servizi di VPN e browser. 76 app di diverso tipo sono state divise in tre categorie di rischio: basso, medio e alto. “L’App Transport Security (ATS) di iOS non è utile e non contribuire a bloccare il funzionamento di tali vulnerabilità” spiega Will Strafach (fondatore di Verify.ly). L’ATS, integrato in iOS 9, è stato pensato per migliorare la sicurezza e la privacy spingendo gli sviluppatori di app a usare il protocollo HTTPS. Apple ha inizialmente previsto la data dell’1 gennaio 2017 come limite previsto entro il quale tutte le app dovevano obbligatoriamente sfruttare questo sistema, ma poi ha rimandato la data a una scadenza indeterminata. Il problema riguarda codice di rete non correttamente configurato che induce l’App Transport Security a vedere le connessioni come valide connessioni TLS (protocollo che permette l’autenticazione), anche se non lo sono.

“Non è possibile risolvere il problema lato Apple” spiega Strafach, “perché annullare questa funzionalità per bloccare il problema, renderebbe alcune app iOS meno sicure in quanto non potrebbero sfruttare certificati legati alle connessioni e non potrebbero fare affidamento a certificati non fidati che potrebbero essere necessari in connessioni intranet in ambienti enterprise che si appoggiano a infrastrutture a chiave pubblica. È responsabilità dei soli sviluppatori garantire che le app non siano vulnerabili”.

Tra le app nelle qual sarebbero state individuate vulnerabilità a basso rischio, ci sono ooVoo, ViaVideo, Snap Upload for Snapchat, Uploader Free for Snapchat, and Cheetah Browser; non sorprende che una manciata di app sia legata a Snapchat, un problema che Strafach aveva già evidenziato a marzo dello scorso anno. Per quanto riguarda le app con rischio medio o elevato Strafach, Strafach non le ha per il momento rivelate spiegando che non le renderà note fino a quando specifiche comunicazioni non verranno inviate agli sviluppatori e alle aziende delle app. Sono 33 le applicazioni con basso livello di rischio, 24 quello con un medio livello e 19 quelle con un alto livello.

Nelle ultime ore, tra l'altro, Apple ha annunciato che eliminerà dallo store tutte le app non aggiornate con l'immissione sul mercato del nuovo iPhone 7. Con il nuovo device è arrivato anche iOS 10, la nuova versione del sistema operativo realizzato dalla casa di Cupertino. Con l’arrivo del nuovo IOS, anche le app presenti nello Store devono adattarsi ad esso, quindi aggiornarsi, ci sarà anche tempo per risolvere tutti i problemi di sicurezza dei dati personali ed avvisare gli sviluppatori delle app rilevate come 'non sicure'.
caricamento in corso...
caricamento in corso...