iOS: un bug HTTPS rende vulnerabili 1.500 applicazioni

INFORMAZIONI SCHEDA
di

Secondo un nuovo rapporto pubblicato da SourceDNA, e ripreso da ArsTechnica, un bug HTTPS renderebbe vulnerabili oltre 1.500 applicazioni per iOS regolarmente presenti sul negozio online per app di Apple, l'Itunes Store. Ciò vuol dire che chiunque, sfruttando questa falla, potrebbe intercettare i dati di un iPhone o iPad ed informazioni sensibili utilizzando il protocollo HTTPS. Il tutto potrebbe avvenire tramite un attacco main-in-the-middle che permetterebbe ad un hotspot WiFi falso di intercettare tutti i dati: questo sistema, ovviamente, non dovrebbe funzionare visto che l'hotspot in questione non avrebbe il certificato di protezione corretto. Tuttavia, il bug scoperto da SourceDNA dimostra che le app affette dal problema non sono in grado di controllare l'autenticità del certificato virtuale.

La vulnerabilità è data dal fatto che migliaia di app si basano sul codice di rete open source AFNNetwork per gestire le connessioni al server. E la versione 2.5.1 introdotta a Gennaio contiene proprio questo bug, nonostante la correzione rialsciata tre settimane fa.
Secondo i ricercatori circa due milioni di persone hanno installato app vulnerabili, tra cui Citrix OpenVoice Audio Conferencing, Alibaba.com, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0, e Revo Restaurant Point of Sale.
A disposizione degli sviluppatori è anche stato messo un tool che consente ai creatori di controllare la vulnerabilità della propria app.