Heartbleed: iOS, OS X e i servizi web di Apple non sono stati colpiti

In queste ore è stata scoperta una gravissima falla in OpenSSL che mette a rischio la nostra privacy su moltissimi siti Web e servizi. Fortunatamente, i servizi online di Apple non sarebbero colpiti.


Aggiornamento dell'11 aprile 2014 - A cura di Rosario.

Dopo ore di attesa per una posizione ufficiale di Apple su Heartbleed, alla fine l'azienda di Cupertino ha concesso un proprio commento a Re/code. Fortunatamente, quanto dichiarato serve a rassicurare gli utenti. Ecco le parole riportate:

"Apple prende la sicurezza molto sul serio. iOS e OS X non hanno mai incorporato il software vulnerabile, e anche i principali servizi basati sul web non sono stati colpiti."

Si conferma così la sicurezza dei principali portali di Apple, Apple.com e iCloud, così come il forum discussions.apple.com, che non fanno uso di OpenSSL: situazione analoga anche per gli altri servizi della società guidata da Tim Cook. Ricordiamo infatti che Heartbleed ha colpito la suddetta implementazione open source dei protocolli SSL e TLS, causando una vera e propria catastrofe su Internet, quantificata in un impatto avuto su circa il 66% dei siti web. In alcuni casi, come quello di Apple, non facendo uso di OpenSSL non c'è stata nemmeno la possibilità di essere vulnerabili ad Heartbleed.

Continuano, tuttavia, a valere i suggerimenti offerti in precedenza in questo stesso post, per quanto riguarda la gestione delle proprie password sia sui servizi colpiti, sia su quelli non colpiti: a questo punto, però, almeno per l'ecosistema composto da iOS, OS X e dalle altre piattaforme di Apple è possibile dormire sonni un po' più tranquilli. Tra i siti che sono stati invece colpiti da Heartbleed, troviamo anche indirizzi famosi come quelli di Dropbox, Facebook, Google, LastPass, OkCupid, SoundCloud, Steam, Tumblr e Yahoo!

Via | Macrumors.com

Heartbleed, le password sui servizi Apple devono essere cambiate?


heartbleed

Post originale del 10 aprile 2014 - A cura di Giacomo Martiradonna.

In queste ore, diverse società operanti sul Web stanno chiedendo a titolo precauzionale di modificare la propria password in seguito alla scoperta di un clamoroso bug in OpenSSL che gli esperti non hanno esitato a ribattezzare "bug catastrofico." La vulnerabilità zero-day in questione è stata ribattezzata Heartbleed (CVE-2014-0160) e riguarda OpenSSL, la componente Open Source alla base della crittografia di più di metà dei server Web; fino ad oggi era considerata anche una tecnologia molto sicura, e questo spiega per quale ragione sia così diffusa e quindi pericolosa.

Il sopraccitato bug sfrutta una debolezza della feature Heartbeat (da cui appunto Heartbleed) che consente ad un terminale esterno di dialogare con un server che fa uso di OpenSSL chiedendo come segnale di risposta persino contenuti specifici. In pratica è possibile per il client di ottenere il contenuto della memoria di massa del server ed accedere quindi potenzialmente a dati come password, numeri di carte di credito, indirizzi e via dicendo.

La falla ha interessato un gran numero dei siti web più popolari e visitati al mondo, tra cui Google, Facebook, Dropbox e Yahoo; alcuni rapporti – quelli di Codenomicon - stimano che il 66% dei server web è affetto da questa breccia.

Apple e Heartbleed


Naturalmente sono già state prese contromisure per riparare questa falla e contenere il problema, ma è necessario che ogni portale si occupi del proprio terreno poiché si tratta di un problema che influenza i webservers e non i singoli dispositivi. In che modo ciò colpisce gli utenti Apple?

Non è ancora del tutto chiaro se il danno sia esteso anche ai siti ed ai servizi della società di Cupertino poiché non ci sono state comunicazioni ufficiali a riguardo. L'allarme non sembra però così grave su questo fronte.

I principali portali di Apple, Apple.com e iCloud, così come il forum discussions.apple.com, non fanno uso di OpenSSL e dovrebbero quindi essere al sicuro poiché non ci sarebbe nessuna falla da sfruttare. Lo confermerebbe anche una lista non ufficiale pubblicata da GitHub, dopo un controllo dei siti. Lo stesso concetto dovrebbe valere anche per gli altri servizi.

Sono già state diverse finora le fonti che hanno sollecitato Apple e si attende ancora una risposta ufficiale da parte della società sulla questione ma si può supporre che, qualora ci fosse qualche vulnerabilità, il team della Mela sia già all'opera.

Come difendersi?


La scoperta di questo bug è recente e risale alle ultime ore ma la sua esistenza non lo è e si può datarla a ben due anni fa. Per quanto sembra spaventoso, dunque, non c'è un rimedio da porre per questo lungo periodo.

Nel frattempo è importante, per tutte le società ed i siti coinvolti, aggiornare tempestivamente il software mentre è saggio per gli utenti adottare un comportamento cauto.

    Innanzitutto è sconsigliabile visitare i siti che non abbiano già verificato la propria sicurezza e comunicato ufficialmente la cosa.

    In seguito a tali comunicazioni sarà opportuno cambiare le proprie credenziali d'accesso per i suddetti siti, specificamente se si tratta di servizi e-mail o di e-commerce.

Come già riportato la pubblicazione di GitHub fornisce una buona idea di quali siano i siti eventualmente a rischio (al momento della rilevazione). Ci sono anche altri strumenti:


    filippo.io è lo stesso strumento usato da GitHub ed è utile per verificare manualmente sito per sito l'esistenza di una vulnerabilità.

    Chrome Checker è un'estensione per il browser Google Chrome che volge la stessa funzione verificando il sito al momento dell'accesso.

    Anche gli addetti ai lavori di LastPass sembrano aver sviluppato un metodo per verificare l'integrità della sicurezza dei server.

Non sembra esserci un'estensione specifica per Safari.

Per quanto riguarda le password dei servizi Apple è opinabile l'utilità di cambiare le proprie password. Potrebbe naturalmente funzionare qualora eventuali bug fossero già stati risolti ma se dovessero sussistere ancora sarebbe un'azione del tutto vana. Naturalmente resta tutto nel regno delle ipotesi fino all'arrivo di una comunicazione ufficiale ed il migliore consiglio in questo caso è di mantenere un comportamento cauto.

    Non dimenticate di scaricare la Blogo App, per essere sempre aggiornati sui nostri contenuti. E’ disponibile su App Store e su Google Play ed è gratuita.
Vota l'articolo:
4.00 su 5.00 basato su 45 voti.  
  • shares
  • +1
  • Mail

I VIDEO DEL CANALE TECNOLOGIA DI BLOGO