skip to main | skip to sidebar
9 commenti

Falla nelle app sugli iPhone fa partire telefonate semplicemente visitando un link

Due informatici, Andrei Neculaesei e Guillaume K. Ross, hanno documentato con un sito e un video una falla della sicurezza degli smartphone che usano iOS: è possibile far partire dall'iPhone della vittima una telefonata, con relativo addebito, semplicemente convincendo la vittima a toccare un link all'interno di un messaggio, senza che il dispositivo chieda alla vittima se vuole davvero fare la chiamata.

Il bello è che la falla non è segreta: è documentata nei manuali Apple. Un link contenente il suffisso tel:// seguito da un numero verrà eseguito da un'app, iniziando la chiamata verso quel numero, “senza ulteriori richieste all'utente”. Non è un difetto di iOS, ma delle singole app. Safari chiede conferma, per esempio, mentre le app di Facebook, Gmail, Google+ non la chiedono. Neculaesei fornisce anche il semplice codice HTML necessario per sfruttare il difetto di queste app.

Lo scenario tipico di sfruttamento di questo difetto è l'operatore di numeri telefonici a valore aggiunto (premium rate) che con una raffica di messaggi (costo zero) riesce a farsi chiamare da vittime inconsapevoli e quindi incassa parte del costo della chiamata. Esistono anche altre applicazioni più dannose di questo difetto, come per esempio l'uso come honeypot per l'identificazione del chiamante.

Facetime di Apple, inoltre, ha una falla separata ma analoga che permette all'aggressore di lanciare automaticamente una videochiamata e catturare l'immagine della vittima senza che la vittima abbia accettato la chiamata.

Per il momento non sono disponibili soluzioni tecniche: l'unico rimedio è non toccare link di provenienza sospetta, oppure usare telefonini non smart o diversi dall'iPhone. I dispositivi Android e Windows Phone, infatti, non si comportano in questo modo vulnerabile. Ross, che ho contattato, dice che lo stesso problema c'è anche nelle app di OS X, ma è risolvibile disabilitando le associazioni.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (9)
E ci scommettiamo che quando uscirà l'iPhone 6 saranno tutti in fila per prenotarlo (acquistare? Ma siamo matti? Quello viene dopo un mese!)? Siamo noi e il nostro stupido desiderio di novità a ritmo serrato che spingiamo la Apple e co. a tecnologie sempre più superficiali e irrispettose della nostra privacy. Rispolvero il mio vecchio (e ancora funzionante!) 3330? :)
tecnicamente non è una falla è una feature
Poi si parla male di Android, questo è un bug gigantesco, se loro non lo considerano tale è un Orrore by Apple.
@Sbronzo di Riace
Se fosse ben implementata sarebbe una feature comodissima, ma se permettiamo alle applicazioni di chiamare tutti senza autorizzazione... ;)
Mi domando quanto felice possa essere il fan boy di turno che pioverà qua a breve. Sono curioso di leggere quali mirabolanti anacoluti riuscirà a mettere assieme per difendere questa "feature"...
Paolo, a questo punto ci starebbe anche un avviso sugli abbonamenti attivati a tradimento: quando si visita un sito con una SIM (quindi non solo usando smartphone ma anche computer collegati a internet grazie a una chiavetta) il sito riceve tra i vari dati anche il numero della SIM usata.
Il problema è che certe pagine usano l'informazione per attivare su tale numero abbonamenti a siti di suonerie, giochini e scemate simili (se non addirittura siti porno): quando arriva il messaggino per informare dell'attivazione e come disattivare, hanno già tolto al credito gli euro dell'iscrizione.

Il fatto è che, a quanto ho visto in giro, non c'è possibilità di nascondere il proprio numero quando si naviga e l'unica cosa possibile per difendersi pare sia contattare il proprio gestore telefonico per far bloccare tutte le decadi a pagamento (ma in questo modo non si potrà usufruire del servizi trasparenti e leciti di pagamento via SIM, nel caso li si vogliano fare).
@Stupidocane
Attendo anche io, voglio farmi un paio di risate e vedere un fanboy smontato :)
Non è che android sia messo molto meglio:
Gmail smartphone app hacked by researchers
Sarò retrogrado, ma continuo a pensare che sia meglio stare alla larga da qualunque dispositivo mobile che contenga o abbia accesso a dati personali.
@axlman
Paolo, a questo punto ci starebbe anche un avviso sugli abbonamenti attivati a tradimento: quando si visita un sito con una SIM (quindi non solo usando smartphone ma anche computer collegati a internet grazie a una chiavetta) il sito riceve tra i vari dati anche il numero della SIM usata.

Sei sicuro? Hai dei riferimenti?
Non è polemica. sia chiaro, solo che ciò che dici equivale a dire, secondo me, che, quando navighi con l'ADSL, riescono a risalire al tuo numero di telefono.
Quello che mi risulta, invece, è che la SIM è solo un veicolo per connettere il proprio telefono ad un router e consentire la fatturazione alla compagnia telefonica.

Il numero di telefono non fa parte del protocollo tcp/ip.

Ci sono dei siti di truffatori che ti promettono dei premi se dai loro il tuo numero di cellulare. Se fosse possibile risalire al numero della SIM con cui ti colleghi, allora che bisogno avrebbero di chiedere il numero? A loro basterebbe attivare silenziosamente i loro abbonamenti ad ogni connessione attraverso telefonino/chiavetta.