Un bug su HTTPS può interessare 25.000 applicazioni iOS con dati sensibili anche su SSL

Almeno 25.000 applicazioni iOS disponibili nell’ App Store di Apple contengono una vulnerabilità critica che potrebbe completamente paralizzare HTTPS  e rubare o modificare i dati sensibili.

Antivirus Mac comparativa

Come è avvenuto con una recente diversa vulnerabilità di HTTPS che ha interessato 1.500 applicazioni iOS, il bug risiede in AFNetworking, una libreria di codice open-source che permette agli sviluppatori di inserire capacità di networking nelle loro  applicazioni IOS e OS X.
Qualsiasi applicazione che utilizza una versione di AFNetworking prima della appena rilasciata 2.5.3 potrebbe avere i suoi dati esposti, e per gli hacker potrebbe essere semplice monitorare e modificare, anche quando è protetta dal protocollo Secure Sockets Layer (SSL), ad esempio per le transazioni monetarie.

Secure Socket Layer (SSL)
La vulnerabilità può essere sfruttata utilizzando qualsiasi certificato SSL valido per qualsiasi nome di dominio, fino a quando la credenziale digitale è stata emessa da un’autorità di certificazione attendibile del browser.

Il risultato è che un attaccante con qualsiasi certificato valido può intercettare o modificare una sessione SSL avviata da un app con questa libreria imperfetta.
Il difetto è che il nome a dominio non è verificato nel CERT, anche se il CERT viene controllato per essere sicuri che è stato rilasciato validamente. Ad esempio, posso fingere di essere ‘microsoft.com’ solo con la presentazione di una valida cert.

Si è stimato che il numero di applicazioni iOS potenzialmente interessate varia da 25.000 ad un massimo di 50.000.
SourceDNA ha fornito uno strumento di ricerca gratuito  che gli utenti finali e gli sviluppatori possono interrogare per vedere se le loro applicazioni sono vulnerabili.
Per rendere più difficile per gli attaccanti sfruttare la vulnerabilità, SourceDNA non fornisce un elenco completo di applicazioni vulnerabili.

Un rapido controllo ha rilevato che diverse applicazioni di bacnhe come Bank of America, Wells Fargo e JPMorgan Chase sono stati probabilmente influenzate, anche se alcune di queste relazioni potrebbero essere falsi positivi.
E’ possibile che alcune applicazioni contrassegnate da SourceDNA utilizzino codice personalizzato o misure secondarie, come certificati di pinning che impediscono gli attacchi.

Antivirus Mac comparativa

Gli utenti iOS dovrebbero controllare immediatamente lo stato di eventuali applicazioni che usano, soprattutto se le applicazioni trasmettono numeri di conto bancario o altre informazioni personali sensibili.
Si può richiedere agli sviluppatori di applicazioni vulnerabili di rilasciare un aggiornamento che include la correzione AFNetworking, quindi gli utenti dovrebbero essere preparati per evitare eventuali versioni vulnerabili.
L’errore AFNetworking riguarda solo le applicazioni che utilizzano la libreria di codice. Il dispositivo stesso e altre applicazioni, tra cui il browser, non sono interessati dal difetto, anche se uno o più applicazioni sul dispositivo sono vulnerabili.

Prova Mackeeper l’antivirus pensato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeper Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *