Allarme sicurezza, attenzione ai browser integrati nelle app iOS

Craig Hockenberry, uno degli sviluppatori dietro a Twitterriffic, ha scritto un post sul proprio blog ammonendo sui pericoli legati ai browser integrati nelle applicazioni iOS: c’è seriamente il rischio che qualche malintenzionato possa rubarvi password, numeri di carta di credito e altre informazioni personali. Per fortuna, per proteggersi basta solo un po’ di comune buon senso.

Dopo lo scandalo che ha portato al furto delle foto delle celebrità, la mela è corsa ai ripari. E infatti, puntuale come un Apple Watch svizzero, la verifica in due passaggi è stata estesa anche agli accessi ad iCloud.com. Ecco come potete (e dovete) attivarla.

Molte app iOS dispongono al loro interno di un browser che serve per determinate classi di software. Visto che prima di iOS 8 non esistevano le Estensioni, titoli come 1Password non potevano interfacciarsi con Safari e immettere le password salvate nel database dell’app; ecco perché si rendeva necessario ricorrere a questo escamotage. Ma talvolta è anche una questione di praticità: il browser integrato in Facebook o Skype, ad esempio, ci evita l’assillo di dover cambiare continuamente applicazione (e in più, nel caso di Facebook, il portalone Blu può studiare meglio le nostre abitudini, ma questa è un’altra storia).

Il problema nasce quando utilizzate i browser integrati per questioni che richiedono l’immissione di dati privati, o per effettuare il login su pagine personali:

Le informazioni in alto sullo schermo sono generate dall’app, non dalla pagina Web. Queste informazioni potrebbero facilmente essere inviate su un server remoto. Non si tratta di phishing: il sito mostrato è veramente Twitter. Questa tecnica si applica a qualunque sito che permetta di interagire con la tastiera. Tutto quel che serve per un attacco si può ottenere facilmente guardando la facciata HTML pubblica su qualunque sito.
L’app sta rubando il tuo user name e la tua password spiando semplicemente quel che digiti sul sito. Non c’è niente che il possessore del sito possa fare per impedirlo, visto che l’app controlla il JavaScript che gira nel browser.

La tecnica, tra l’altro, funziona sia su iOS 7 che su iOS 8, e a onor del vero non si tratta di un bug come quelli tragici che affliggono tutti gli ultimi update di Cupertino: è una feature, e dipende strettamente dalla buona volontà dello sviluppatore. Tra l’altro, non vi aspettate un aggiornamento a breve, visto che occorrerebbe modificare WebKit e UIWebView per ogni versione presente e passata di iOS, ma esistono soluzioni che potrebbero essere implementate in tempi rapidi.

Come si fa quindi a proteggere la propria identità online? Molto semplice: evitate di immettere password, carte di credito, dati di login e così via quando navigate attraverso i browser integrati delle app, a meno che non siano altamente affidabili. Piuttosto, preferite le app ufficiali e Safari. E il problema è risolto.

Apple pubblica a tempo record iOS 8.0.1, per correggere molti bug di gioventù di iOS 8. Solo che poi ha dovuto ritirarlo subito perché introduce nuovi bug. Storia di una piccola catastrofe.