iOS e OS X, una falla di sicurezza ruba password e dati personali

[blogo-video id=”181540″ title=”Furto Password – iOS & OS X” content=”” provider=”jwplayer” image_url=”https://media.melablog.it/3/312/fpq5iyy5-jpg.png” thumb_maxres=”0″ url=”http://bvideo.blogo.it/players/fPQ5IyY5-ghClGWxr.js” embed=”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”]

Alcuni ricercatori dell’Università dell’Indiana, del Georgia Tech e dell’Università di Pechino hanno pubblicato un preoccupante documento che svela una nuova vulnerabilità presente nelle ultime versioni di iOS e OS X e che consente ad un’app malevola di carpire password di Chrome e iCloud, dati personali, token di autenticazione e molto altro.

[related layout=”big” permalink=”https://www.melablog.it/post/181323/ios-8-3-un-bug-ruba-le-credenziali-icloud-video”]Fate attenzione alle mail che ricevete. Potrebbero tentare di rubarvi le credenziali iCloud: ecco come riconoscere la minaccia.[/related]

Il problema è che, nonostante le app girino sempre in una sandbox, cioè in uno spazio vincolato e protetto, esiste il modo di farle uscire al di fuori di tali confini; e quando ciò avviene, accedono allo spazio dedicato alle altre app, leggendone così i dati. In pratica, se uno volesse, potrebbe scoprire tutte le password salvate nel Portachiavi o l’intera libreria di dati di 1Password; un’autentica tragedia:

“Siamo riusciti a violare completamente il servizio Portachiavi -utilizzato per conservare le password e le altre credenziali per le diverse app Apple- e i container sandbox su OS X, e inoltre abbiamo identificato una nuova falla all’interno dei meccanismo di comunicazione tra le app su OS X e iOS che può essere utilizzato per rubare dati confidenziali da Evernote, Facebook e altre app di alto profilo.”

Stessa storia su iOS. Chiunque, con le righe giuste di codice nascoste in un’app, potrebbe accedere allegramente a tutti i vostri dati salvati su iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, 1Password, Evernote, Pushbullet, Dropbox, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo, Pocket e molte, molte altre.

[blogo-video id=”181541″ title=”Furto Dati – iOS & OS X” content=”” provider=”jwplayer” image_url=”https://media.melablog.it/c/ccb/g3ldpt5w-jpg.png” thumb_maxres=”0″ url=”http://bvideo.blogo.it/players/g3lDpT5W-ghClGWxr.js” embed=”PGRpdiBpZD0nbXAtdmlkZW9fY29udGVudF9fMTgxNTQxJyBjbGFzcz0nbXAtdmlkZW9fY29udGVudCc+PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiIHNyYz0iaHR0cDovL2J2aWRlby5ibG9nby5pdC9wbGF5ZXJzL2czbERwVDVXLWdoQ2xHV3hyLmpzIj48L3NjcmlwdD48c3R5bGU+I21wLXZpZGVvX2NvbnRlbnRfXzE4MTU0MXtwb3NpdGlvbjogcmVsYXRpdmU7cGFkZGluZy1ib3R0b206IDU2LjI1JTtoZWlnaHQ6IDAgIWltcG9ydGFudDtvdmVyZmxvdzogaGlkZGVuO3dpZHRoOiAxMDAlICFpbXBvcnRhbnQ7fSAjbXAtdmlkZW9fY29udGVudF9fMTgxNTQxIC5icmlkLCAjbXAtdmlkZW9fY29udGVudF9fMTgxNTQxIGlmcmFtZSB7cG9zaXRpb246IGFic29sdXRlICFpbXBvcnRhbnQ7dG9wOiAwICFpbXBvcnRhbnQ7IGxlZnQ6IDAgIWltcG9ydGFudDt3aWR0aDogMTAwJSAhaW1wb3J0YW50O2hlaWdodDogMTAwJSAhaW1wb3J0YW50O308L3N0eWxlPjwvZGl2Pg==”]

La minaccia è nuova, ma la fregatura sempre la stessa: i ricercatori hanno informato Cupertino di questi problemi addirittura a ottobre 2014, e per sei mesi hanno adempiuto alla richiesta esplicita di mantenere il riserbo sulla questione. In assenza di una risposta adeguata, tuttavia, gli esperti sono stati costretti a rendere pubblica la falla, e ora -come al solito- milioni di utenti iOS e OS X in tutto il mondo risultano esposti, e non c’è nulla che possano farci.

E non consola sapere che problemi simili esistono anche su Android; Apple ha avuto oltre 6 mesi di tempo per mettere mano alla questione, e invece eccoci qui. La sicurezza è una faccenda complicata, ce ne rendiamo conto, ma un attimo di esitazione in questo campo può costare caro e creare milioni di vittime.