La scansione dei binary code di alcune app ufficiali iOS su App Store ha portato alla scoperta di nuova vulnerabilità riscontrate su ben 76 prodotti. Si tratta di un sistema di verifica basato sul servizio verify.ly di Will Strafach che ha portato recentemente alla luce i bug che potenzialmente consentono l’intercettazione dei dati.
L’operazione di sniffing dati si rende tale anche in presenza dei moduli di sicurezza App Transport Security, sebbene la questione non rispecchi necessariamente una novità assoluta, in considerazione del fatto che già diversi mesi fa alcune vulnerabilità simili riscontrate per l’OS di Apple erano state portate alla luce dalle app Experian e myFICO Mobile.
Di fatto il servizio è stato appositamente studiato per garantire il rilevamento delle vulnerabilità specifiche dei sistemi Apple ed ha il fine di migliorare qualitativamente l’utilizzo delle applicazioni sotto il profilo della sicurezza posta così al vaglio dello sviluppatore.
Il sistema di rilevamento basa la propria azione sulla consultazione di voci relativa a bug noti presenti su apposito database. A preoccupare, in questo caso, è il fatto che le applicazioni coinvolte hanno assunto uno status di primo livello in considerazione del fatto che il numero di download stabilito è di ben 18 milioni.
La feature App Transport Security non riesce a bloccare la vulnerabilità che abbiamo scoperto
ha dichiarato Strafach. ATS è stato implementato per la prima volta su iOS 9 e costringe le app iOS all’utilizzo del protocollo base di sicurezza basato su logica HTTPS quando necessario. Il 1 Gennaio 2017 la compagnia aveva di fatto imposto l’osservanza di questi obblighi, sebbene in seguito la situazione ha richiesto una proroga d’intervento. La vulnerabilità si basa su un codice di rete configurato in maniera errata che consente alla funzione App Transport Security di considerare come TLS connessioni che in realtà non sono protette.
Secondo l’esperto il ruolo di Apple in merito alla faccenda sarebbe solo marginale ed il tutto sarebbe da indirizzare piuttosto all’attenzione degli sviluppatori delle app coinvolte che dovranno necessariamente porre a verifica le condizioni di sicurezza. L’esperto di IT Security ha classificato le vulnerabilità secondo uno schema classico basso, medio ed alto. Tra le soluzioni a rischio abbiamo: ooVoo, ViaVideo, Snap Upload for Snapchat, Uploader Free for Snapchat e Cheetah Browser.
D’altro canto gli utenti possono intervenire in merito al problema ponendo in essere l’utilizzo di un firewall/VPN o tramite la disattivazione automatica o manuale della connessione di rete WiFi. Una situazione che in quest’ultimo caso non è ovviamente applicabile universalmente in luogo di servizi che richiedono necessariamente una connessione di rete, come i sistemi di home banking.
La stessa vulnerabilità, come da report, è comunque presente anche per le connessioni via mobile sebbene in questo caso l’intercettazione dei dati sia decisamente più complicata, in luogo della richiesta di costosi tool ed attacchi che si manifesterebbero in chiaro alla vittima.
Ulteriori informazioni al riguardo possono essere reperite attraverso il post di riferimento originale ove si riporta il listato completo delle applicazioni coinvolte.