Decine di app insicure sull'App Store per iPhone e iPad

Naviga SWZ: Home Page » News
News del 02 Luglio 17 Autore: Stefano Fossati
Decine di app per iPhone e iPad mettono tuttora a rischio i dati sensibili dei loro utenti, comprese le credenziali di accesso ai rispettivi servizi, a causa di una vulnerabilità resa nota all’inizio dell’anno e che, in molti casi, non è mai stata risolta nonostante siano ormai trascorsi diversi mesi dalla scoperta.

Era stato Will Strafach, amministratore delegato di Sudo Security Group, a rivelare lo scorso febbraio una lista di 33 popolari app per iOS esposte al rischio di attacchi “man-in-the-middle”, che consentono a ipotetici hacker di intercettare dati nel momento in cui vengono trasmessi da un dispositivo a un server remoto. Queste app, identificate da Strafach dopo avere verificato migliaia di applicazioni disponibili nell’App Store, a causa di un’errata implementazione del codice stabiliscono una connessione criptata accettando qualsiasi certificato, senza eseguirne correttamente la validazione. Così un eventuale hacker, presente nei paraggi del dispositivo e connesso alla stessa rete wi-fi, potrebbe indurre l’app ad accettare un certificato falso ed essere così in grado di impossessarsi di username e password dell’utente, senza che quest’ultimo peraltro possa accorgersi di nulla.

Decine di app insicure sull'App Store per iPhone e iPad - immagine 1

Oltre che nelle 33 app "a basso rischio" pubblicate, aveva precisato Strafach, la vulnerabilità era presente in altre 43 applicazioni di servizi bancari e di assistenza medica "ad alto rischio", di cui non aveva rivelato i nomi per ovvi motivi, riservandosi di comunicare l’esistenza del problea privatamente ai rispettivi sviluppatori.

A tre mesi di distanza, osserva ora lo stesso Strafach, solo alcune delle app segnalate sono state aggiornate eliminando il bug – fra queste Foxit Pdf e HipChat – mentre la maggioranza è ancora vulnerabile: fra queste ci sono app bancarie come Emirates NBD, 21st Century Assurance, Think Mutual Bank e Space Coast Credit Union, il servizio di controllo del livello di glucosio nel sangue Diabetes in Check e il noto browser internet Dolphin che – ironia della sorte – promette, come principale caratteristica, la navigazione “privata” del web.

In una nota, Strafach suggerisce di utilizzare le app a rischio esclusivamente con la propria connessione dati sulla rete di telefonia mobile e non in wi-fi, o meglio ancora di non utilizzarle affatto fino a quando non saranno aggiornate.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

News Collegate