AppiOS

Attacco man-in-the-middle: vulnerabili 25.000 app iOS

Oltre 25.000 app iOS sono esposte ad attacchi man-in-the-middle grazie alla vulnerabilità presente all’interno della popolare libreria AFNetworking, usata dagli sviluppatori di app in numerose occasioni. Il bug del protocollo Secure Socket Layer (SSL), ormai sistemato, è l’ultimo scoperto all’interno della libreria, la quale è stata patchata per ben tre volte dal mese di marzo.

La società di ricerca statunitense SourceDNA afferma che il difetto esisteva in un frammento di codice che era vicino a un bug precedente, e ha coinvolto un errore di sistema per convalidare i nomi di dominio certificati. Questo significava che un attaccante che presenta un qualsiasi certificato, anche falso, avrebbe avuto la possibilità di intercettare il traffico degli utenti con un attacco man-in-the-middle.

app-ios-man-in-the-middle-informatblog

“Ciò significa che un attaccante che si trova in un bar potrebbe benissimo intercettare dati privati o prendere il controllo di una sessione SSL tra l’applicazione e internet”, dice la compagnia in una nota di sicurezza. “Proprio perché il nome di dominio non veniva controllato, tutto quello che serviva era un certificato SSL valido per qualsiasi server web, qualcosa che si può acquistare per poche decine di dollari“.

La nota continua: “Siamo stati sorpresi di vedere questo bug all’interno della versione 2.5.2, e doppiamente sorpresi quando abbiamo capito che questo problema era già stato segnalato e risolto il giorno dopo che il precedente difetto sul certificato SSL era stato sistemato, ma nessuno sembrava avere notato che era stato lasciato fuori dalla versione 2.5.2.”.

Lo sviluppatore iOS di AFNetworking Tamás Tímár ha risolto il problema nella versione 2.5.3 della libreria. Lo scanner Searchlight AOO di SourceDNA rivela le app popolari che sono aperte alle varie vulnerabilità; esse includono anche quattro grandi banche australiane, la Bank of America, e la Barclay Bank del Delaware.

L’azienda raccomanda l’aggiornamento alla versione più recente e l’abilitazione del certificato per una maggiore sicurezza. (Fonte)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti