La scansione dei codici binari ottenuta attraverso l’utilizzo dell’utility verify.ly di Will Strafach ha portato alla scoperta di 76 app iPhone ed iPad vulnerabili. Nello specifico ai prodotti viene concesso il privilegio di intercettare i dati in transito dalle applicazioni. L’operazione ha affetto anche in seguito all’uso della tecnologia App Transport Security.
Il sistema di scansione ha lo scopo di migliorare la sicurezza ed avvertire gli sviluppatori su eventuali problemi legati alle funzioni applicative ed alle problematiche verso cui Apple non interviene direttamente. Le vulnerabilità sono state classificate dall’esperto di sicurezza secondo uno schema classico (basso, medio ed alto) ed assume portata rilevante in quanto le app incriminate sono state scaricate e regolarmente installate 18 milioni di volte.
Il problema risiede nell’errata implementazione del protocollo di sicurezza voluto dallo standard HTTPS implementato in via obbligatoria a partire dallo scorso 1 gennaio 2017. Nello specifico, la vulnerabilità si basa su un codice di rete configurato in maniera errata che consente alla feature App Transport Security di considerare come TLS connessioni che in realtà non sono in alcun modo protette.
Tra le app coinvolte abbiamo: ooVoo, ViaVideo, Snap Upload for Snapchat, Uploader Free for Snapchat e Cheetah Browser. Gli utenti possono intervenire disabilitando la connessione WiFi o utilizzando una VPN, sebbene la disattivazione della rete provochi disagi secondari dovuti alla necessaria presenza di un netowrk attivo per le operazioni online. Una vulnerabilità riscontrata anche in caso di utilizzo di connessione dati cellulare, sebbene in questo caso l’intercettazione sia molto più difficile causa la necessità di provvedere all’utilizzo di tool avanzati ben specifici.
VIA