La società Independent Security Evaluators (di seguito ISE), specializzata in analisi di sicurezza informatica, ha pubblicato una pagina web contente alcune importanti informazioni relative ad un grave bug di sicurezza riscontrato recentemente in iPhone.
All'interno della pagina si legge che la società è al lavoro da quando iPhone è stato lanciato sul mercato, per scoprire se fosse possibile e con che facilità sfruttare eventuali buchi di sicurezza per reperire informazioni private e dati sensibili. ISE ha dichiarato di aver avvertito Apple del problema e di aver già proposto una patch, che la casa di Cupertino sta attualmente valutando.
Realizzando una pagina web contenente un exploit progettato per sfruttare la falla, risulterebbe possibile l'esecuzione di codice arbitrario con privilegi di amministratore il che permetterebbe, ad esempio, la raccolta di informazioni riservate come SMS, i numeri della rubrica telefonica, il contenuto della casella Voicemail e via discorrendo. Ma questa è solo una delle possibilità di attacco: il codice mandato in esecuzione, infatti, può contenere qualunque tipo di istruzione che iPhone è in grado di interpretare ed eseguire.
L'unico modo di sfruttare questa falla, quindi, pare essere quello di collegarsi ad una pagina web scritta appositamente con questo scopo. ISE elenca i tre principali subdoli metodi che possono essere utilizzati per indurre l'utente ad accedere ad una pagina contenete l'exploit:
- L'accesso ad un network wi-fi già compromesso
- L'accesso ad un forum di discussione ove siano state tralasciate le contromisure necessarie per impedire agli utenti di inviare contenuto dannoso
- La ricezione di mail o sms contenenti link diretti ad una pagina contenete l'exploit
Ovviamente i consigli restano quelli di sempre: navigare solo su siti noti e affidabili, utilizzare network wi-fi dei quali si conosca l'origine e non aprire link da sms o mail ricevute da individui che non si conoscono. Attualmente non è ancora possibile determinare se la falla individuata interessa anche le versioni per Mac e Windows di Safari.
La falla di sicurezza individuata da ISE sarà al centro di un interessante dibattito in occasione della Black Hat Conference di Las Vegas, che aprirà i battenti il prossimo 2 Agosto. Maggiori informazioni presso il sito di Independent Security Evaluators, a questa pagina.
www.hwupgrade.it/news/apple/rilevata-grave-falla-di-sicurezza-in-iphone_22...