Apple iOS, 76 app vulnerabili ad intercettazione dati

Sono almeno 76 le popolari app iOS trovate ad essere vulnerabili ad intercettazione dei dati. Il rischio per la sicurezza è elevato? Cerchiamo di scoprirlo.

Scritto da

Simone Ziggiotto

il

Sono almeno 76 le popolari applicazioni per la piattaforma iOS di Apple che sono state trovate ad essere vulnerabili ad intercettazione dei dati da verify.ly, servizio che analizza il comportamento delle app. Il rapporto è stato pubblicato sul sito di Medium, dove il CEO del Gruppo di Sicurezza Sudo, Will Strafach, ha rivelato che le applicazioni in questione non sono riuscite a fare uso del protocollo di sicurezza Transport Layer Security per lo scambio dei dati.

Il protocollo TLS protegge le comunicazioni tra client e server. Senza questo tipo di protezione, le applicazioni sono suscettibili ad intercettazione dei dati da parte di un terzo – che puo’ essere un hacker – con rischi potenziali di furto di dati sensibili come le credenziali di accesso alle app bancarie, quelle legate alla salute o agli indirizzi di posta elettronica.

L’intercettazione dei dati è possibile indipendentemente dal fatto che gli sviluppatori hanno scelto di utilizzare la funzione di sicurezza di rete fornita da Apple, la App Transport Security.

In verità, perchè l’attacco abbia successo, l’attaccante deve trovarsi entro il raggio d’azione del collegamento Wi-Fi a cui è collegato il dispositivo. Ci sono bassi rischi, quindi, in casa propria (a meno che abbiate un vicino esperto hacker che ce l’ha con voi), mentre piu’ rischi si possono correre se ci si collega a reti WiFI pubbliche.

Da parte sua Apple non puo’ risolvere il problema, a meno di bloccare il funzionamento delle app. Sono gli sviluppatori delle app vulnerabili che devono integrare nelle loro applicazioni un sistema di sicurezza piu’ sicuro, partendo dal protocollo TLS.

Sono state segnalate 76 applicazioni con un livello di rischio per la sicurezza ‘basso’, ‘medio’ e ‘alto’, e da quanto appreso gli sviluppatori le cui app sono elencate nella lista sono gia’ stati avvertiti. Di queste, le app in cui la vulnerabilità è stata ritenuta a basso rischio sono 33, rischio medio sono 24 e ad alto rischio sono 19. Secondo le stime Apptopia, oltre 18.000.000 download delle app vulnerabili sono state scaricate da App Store.

Fino a quando gli sviluppatori non rilasceranno una versione aggiornata delle loro app per risolvere la vulnerabilità, Strafach consiglia agli utenti delle applicazioni elencate di evitare ad esse l’accesso alla rete Wi-Fi. C’è poi un trucco a breve termine che può essere utilizzato dagli utenti con un piano dati mobile per mitigare questo tipo di vulnerabilità, che ricordiamo essere pericolosa solo se l’hacker si collega alla stessa rete WiFi dell’utente. Pertanto, se ci si trova in un luogo pubblico e si ha la necessità di connettersi ad internet per controllare magari quanti soldi si hanno sul conto accedendo all’app della propria banca, meglio non connettersi alla rete WiFi pubblica ma spegnendo il WiFi e attivare la connettività dati mobile. Anche se una connessione mobile non elimina la vulnerabilità completamente, Will Strafach ritiene che l’intercettazione di una connessione su rete mobile è più difficile e richiede all’attaccante "hardware molto costoso è più ingombrante, e anche illegale (negli Stati Uniti)".

L’elenco delle applicazioni vulnerabili non include app italiane, ma comprende un certo numero di app popolari di terze parti che consentono l’accesso a Snapchat, e app bancarie per le banche con sede in Porto Rico e in Libia. A seguire l’elenco delle applicazioni iOS con rischio ‘basso’ ad essere vulnerabili per questo tipo di attacco: ooVoo; VivaVideo – Free Video Editor & Photo Movie Make; Snap Upload per Snapchat; Uconnect Access; Volify — Free Online Music Streamer & MP3 Player; Uploader Free for Snapchat — Quick Upload Snap from Camera Roll; Epic! — Unlimited Books for Kids; Mico — Chat, Meet New People; Safe Up for Snapchat — Quick Upload photos and videos from your camera roll; Tencent Cloud; Uploader for Snapchat — Quick Upload Pics & Videos to Snapchat; Huawei HiLink (Mobile WiFi); VICE News; Trading 212 Forex & Stocks; CashApp — Cash Rewards App; 1000 Friends for Snapchat — Get More Friends & Followers for Snapchat; YeeCall Messenger-Free Video Call&Conference Call; InstaRepost — Repost Videos & Photos for Instagram Free Whiz App; Loops Live; Privat24; Private Browser — Anonymous VPN Proxy Browser; Cheetah Browser; AMAN BANK; FirstBank PR Mobile Banking; vpn free — OvpnSpider for vpngate; Gift Saga — Free Gift Card & Cash Rewards; Vpn One Click Professional; Music tube — free imusic playlists from Youtube; AutoLotto: Powerball, MegaMillions Lottery Tickets; Foscam IP Camera Viewer by OWLR for Foscam IP Cams; Code Scanner by ScanLife: QR and Barcode Reader. 

Impostazioni privacy