Un bug di iOS permette il keylogging su iPhone e iPad

Alcuni ricercatori dell’agenzia di sicurezza FireEye hanno scoperto un nuovo bug relativo al multitaskng di iOS che permetterebbe di effettuare la registrazione degli “eventi” innescati dall’utente, quali ad esempio la digitazione di caratteri sulla tastiera virtuali, il tocco dello schermo, l’attivazione di touch ID e dei tasti volume.
La falla esiste su tutti i dispositivi su cui possono girare iOS 6 e iOS 7 (tutte le versioni) e può essere sfruttata anche su dispositivi non jailbroken.

Ecco quanto scrivono i ricercatori:

Abbiamo creato un’app come prova di concetto che è in grado di monitorare i dispositivi con iOS 7 non jailbroken. […] Quest’applicazione può poi inviare tutti i dati ad un server remoto. I potenziali malintenzionati potrebbero utilizzare le informazioni raccolte per ricostruire ogni carattere digitato dalla vittima.

In un altro post, subito rimosso, i ricercatori di FireEye sostenevano di essere già riusciti a far passare un’applicazione simile attraverso le maglie dell’App Store, sempre come prova di concetto per verificare che la falla può essere sfruttata. A quanto è dato di capire l’applicazione in questione riesce nell’intento sfruttando il meccanismo del multitasking di iOS che permette alle app di continuare a funzionare in background. L’unico modo per evitare rischi, al momento, sarebbe quello di non far girare in background applicazioni di dubbia natura, anche se scaricate dallo Store.

Per quanto preoccupante, questo tipo di falla appare molto meno grave (e più difficilmente sfruttabile) del problema relativo alla verifica delle connessioni sicure SSL, risolto da Apple con l’aggiornamento  7.0.6  di iOS e ancora presente invece su OS X 10.9.1.

Apple non ha rilasciato commenti riguardo questo nuovo bug, mentre i ricercatori sostengono di aver già avvisato Cupertino.

[via]