Cerca nel blog

2016/01/22

Aggiornate il vostro iOS per non farvi rubare gli account tramite Wi-Fi

Pochi giorni fa è uscito un aggiornamento per iOS che chiude una falla particolarmente grave, che consente a un accesso Wi-Fi di prendere il controllo degli account delle vittime. Come se non bastasse, la falla esiste da anni: è stata segnalata ad Apple dagli esperti di sicurezza di Skycure a giugno del 2013 ed è stata risolta soltanto ora.

La falla sta nel modo in cui iOS gestisce i cosiddetti captive portal, ossia quelle finestre che compaiono automaticamente sullo schermo quando un utente di iPhone, iPad o iPod touch si collega a un Wi-Fi pubblico. Queste finestre consentono di navigare nelle pagine Web locali (per esempio quelle dell’albergo o aeroporto in cui si trova l’utente) o di dare le proprie credenziali per connettersi a Internet.

Fino all’aggiornamento alla versione 9.2.1 di iOS appena uscito, questa finestra veniva gestita in modo promiscuo: aveva accesso ai cookie di Safari, col risultato che l’aggressore che creava un accesso Wi-Fi ostile poteva rubare questi cookie e usarli per spacciarsi per l’utente per esempio in un social network, prendendo temporaneamente il controllo dei suoi account. Il fatto che la finestra del captive portal si apre automaticamente facilita notevolmente il lavoro del truffatore.

Dalla versione 9.2.1 in poi questa falla non è più sfruttabile perché i cookie non vengono più condivisi. Aggiornarsi, insomma, non è un optional. Complimenti a Skycure, fra l’altro, per aver saputo mantenere il segreto per più di due anni in attesa che Apple sistemasse il problema.

3 commenti:

Scatola Grande ha detto...

Ma perché era consentita la lettura di coockie creati da altri siti?

Guido Baccarini ha detto...

Macitynet pubblica (facile da trovare, non metto il link per questo) la notizia della grave falla di Android con il titolo "Android come Flash, mega falla nel kernel Linux spinge gli utenti all’abbandono", interessante vedere come titolerà questa....

Darshan ha detto...

@Baccarini

Dici questo? http://tech.slashdot.org/story/16/01/21/2326245/google-fixes-zero-day-kernel-flaw-says-effect-on-android-not-really-that-bad