Una falla in OS X e iOS permette di rubare password e dati personali ad una app distribuita su App Store. Apple annuncia di avere risolto il problema a livello server, e un aggiornamento per gli utenti sarà presto disponibile.
Negli scorsi giorni vi abbiamo parlato di una pericolosa falla presente in OS X e iOS che permetterebbe a un malintenzionato di distribuire software malevolo tramite App Store (quindi attraverso i canali ufficiali di Apple) in grado di rubare password, numeri di carte di credito e dati personali da altre applicazioni presenti sul computer.
Ora Apple annuncia di essere al lavoro su una soluzione per la falla, che mette a repentaglio la sicurezza di ogni Mac e dispositivo iOS.
In cosa consiste la falla? Apple impone agli sviluppatori di creare applicazioni completamente separate dalle altre, in quello che in gergo viene chiamato Sandbox. L’app Things, per esempio, non può accedere a Safari e leggere la vostra password perché è completamente separata da tutto il resto delle app e del sistema operativo. Se una app prova ad accedere alla vostra posizione, ai vostri contatti o alle vostre fotografie, OS X e iOS si mettono in mezzo e mostrano una notifica nella quale viene chiesto a voi se volete che accedano a questi dati.
Un gruppo di ricercatori universitari ha scoperto che è possibile sfruttare l’opzione Portachiavi di iCloud per mettere in contatto applicazioni che generalmente non potrebbero interagire tra loro.
Il risultato è che sarebbe possibile per una app sandbox distribuita tramite App Store accedere ai vostri dati personali.
Apple ha annunciato in queste ore al sito iMore di essere al lavoro su una soluzione da distribuire a tutti gli utenti. Nel frattempo Apple dice di avere già risolto il problema a livello server (ovvero bloccando nel processo di recensione di App Store le applicazioni che includono le tecniche per sfruttare questo exploit nel loro codice).
Non è chiaro perché Apple abbia aspettato l’ultimo momento per mettere una pezza al problema, considerato che i ricercatori hanno avvisato Apple della falla ancora lo scorso autunno.
[via]
₲⎞⥀ 20/06/2015 il 20:56
a livello server non hardware