skip to main | skip to sidebar
14 commenti

Ma è davvero possibile infettare un computer o un telefonino con un’immagine? Sì

Ultimo aggiornamento: 2016/07/22 15:10.

Una delle raccomandazioni classiche della sicurezza informatica è che qualunque dato ricevuto può trasportare un attacco e quindi non ci si può fidare di nessun tipo di file: la cosa è abbastanza intuitiva per i programmi o le app, che eseguono delle istruzioni e quindi prendono il controllo del dispositivo sul quale sono installati, ma è molto meno ovvia per altri tipi di file.

Per esempio, molti utenti sono increduli quando sentono dire che si può infettare un computer, un tablet o uno smartphone usando semplicemente un’immagine. Come è possibile? Un’immagine, viene da pensare, è una cosa che viene soltanto visualizzata: non viene eseguita. L’idea che un’immagine possa infettare un dispositivo digitale sembra assurda quanto l’idea che guardare un certo telefilm possa guastare il televisore.

Eppure è così: era successo l’anno scorso con Stagefright, un difetto dei dispositivi Android che consentiva di attaccarli semplicemente visualizzando o ricevendo via MMS un’immagine appositamente confezionata, ed è successo ancora.

La dimostrazione più recente di questo fatto apparentemente assurdo tocca stavolta gli iPhone, gli iPad e i computer della Apple, che hanno una serie di difetti nel modo in cui creano le anteprime (thumbnail) delle immagini. Se l’immagine ha le caratteristiche giuste, non viene elaborata correttamente e una sua parte viene erroneamente interpretata come se fosse una serie di comandi da eseguire. Questo consente di attaccare un dispositivo di una vittima inviandole un’immagine, per esempio via MMS o via mail, oppure convincendola a visitare una pagina Web contenente l’immagine ostile.

Niente panico: il difetto è già stato corretto con gli aggiornamenti usciti di recente, che portano iOS alla versione 9.3.3 e Mac OS X alla versione 10.11.6. Se non li avete ancora scaricati e installati, fatelo appena possibile.


Fonti: Talos Intel, Welivesecurity. Correzione: nella stesura iniziale avevo scritto che la versione di OS X era la 10.11.16; è invece la 10.11.6. Grazie a @lordgordon per la segnalazione.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (14)
Ovviamente, se il sistema operativo concede il codice eseguibile
allora e' possibile infettare il PC pure con una canzone.
Si, ma allora lo fanno apposta.
Il problema fondamentale e' pero' che pure le Tesle utilizzano
(circa) gli stessi hardware e gli stessi software.
A quando il Virus car ? il Troian car ? o piu' semplicemente
lo spam car percui l'auto si ferma solo davanti ai negozi dello sponsor ? :-D
Euro,

pure le Tesle utilizzano (circa) gli stessi hardware e gli stessi software.

No. Il sistema di intrattenimento (browser) è fisicamente separato da quello di gestione dell'auto. il sistema di gestione dell'auto è aggiornabile solo scaricando l'aggiornamento dal sito apposito di Tesla, ed è decisamente paranoico nel modo in cui lo fa. Da fuori, in pratica, non può arrivare nulla. Charlie Miller (quello che "hackerò" la Fiat Cherokee) ci ha lavorato per un anno per scardinare la sicurezza delle Tesla e ha avuto successo marginale. Direi che il tuo concetto che le auto siano hackerabili è giusto in generale, ma non sono tutte fatte con lo stesso criterio (o con la stessa scriteriatezza).

E per favore, "le Tesle" è orribile oltre che sgrammaticato. Evita, per favore, altrimenti Nikola si rivolta nella tomba (e per induzione genera un campo elettrico).
Spero che questo caso serva a far capire che iOS non è sicuro tanto quanto Android.
@Paolo: "e per induzione genera un campo elettrico" è bellissima!! :) :)
scusa paolo, io ho appena scaricato l'aggiornamento IOS per il mio Imac.
Ho yosemite, però l'update che mi ha installato, del 22 luglio, è il 10.10.5.
Sbaglio qualcosa?
ciao!
...ovviamente volevo scrivere OS X, non IOS...
:P
@Paolo Attivissimo

Guardando "Idiocrazia" ho riso dall'inizio alla fine,

(Spoiler Alert)

quando arriva la scena in cui la polizia blocca la smart inviando un comando a distanza, ho avuto un pensiero istantaneo che è balenato in un tick del mio cervello, ma che se cercassi di mettere a parole suonerebbe circa:

"Curioso, ho sempre pensato che, se le macchine fossero gestite da un computer collegato in rete (Pessima idea), potrebbe tornar utile all'ordine pubblico dare ai poliziotti l'opportunità di spegnere il motore di un'automobile in vista. Tuttavia, se questo avviene in questo film, è prova sufficiente che, per ragioni che adesso mi sfuggono, non è una buona idea."
Puffolotti,

per ragioni che adesso mi sfuggono, non è una buona idea

Ti propongo un paio di ragioni.

1. Una tecnologia del genere, così desiderabile, prima o poi finirebbe nelle mani dei malviventi (come sempre avviene). Immaginati un inseguimento di polizia dove i malfattori fuggono in auto mentre le volanti della polizia si bloccano :-)

2. I malviventi potrebbero essere gli stessi governanti/dirigenti d'azienda. Un governo totalitario (o un'azienda) che avesse un potere del genere controllerebbe la libertà di spostamento. Avrebbe un vantaggio logistico immenso. Esempio: Turchia. Altro esempio: Uber :-)
Puffolotti,

dimenticavo:

3. Un governo straniero che si impossessasse del codice di controllo dei mezzi di trasporto del paese nemico avrebbe vinto la guerra senza sparare un colpo.

4. Un gruppo criminale avrebbe un'occasione strepitosa per il ransomware. Paga o la tua auto non parte. Paga o la tua ambulanza non si muove. Paga o il tuo autobus è fermo. Fermo sui binari. E sta arrivando un treno.
Tutti,

se ve lo state chiedendo: sì, ho una mente criminale. Questo è solo un assaggio :-)
Sfrush Sfrush? (Leggasi: ho il permesso di fare "sfrush sfrush" con le mani?)
@Paolo Attivissimo

Sul punto 1 non sono in disaccordo, ma mi vien da pensare la stessa cosa che penso delle armi da fuoco: Se per qualsiasi ragione qualcuno tira fuori delle pistole e comincia a sparare a casaccio in una zona affollata, se è l'unico ad avere una pistola può alzare punteggi a due o tre cifre; se quando estrae la prima arma qualcun'altro è armato in teoria potrebbe arrivare a freddarlo ed interrompere la strage.

La metterei in questo modo: Se i criminali trovano per primi un modo per fermare un veicolo a distanza, questa opzione andrebbe fornita anche alla polizia.
Collegare alla rete mezzi sensibili?

Hell No!
Vangelo di Adama
So we say all.