Bug HTTPS mette a rischio migliaia di applicazioni iOS

Ormai si sa che la sicurezza al tempo degli smartphone sta diventando sempre più importante e anche i meno esperti si sono messi in allerta per cercare qualsiasi cosa che faccia da protezione. Forse dal titolo alcuni di voi hanno pensato: ma iOS non era molto più sicuro di altri SO?

Da androidiano convinto non posso che affermare che lo è. Infatti stiamo parlando di un bug già risolto (e non riguardante Cupertino in particolare), ma molte app continuano a usare stringhe del codice vulnerabile, mettendo così a rischio la sicurezza dei propri utenti.

Il bug è dovuto all’aggiornamento 2.5.1 di AFNetwork, una biblioteca open-source molto popolare nell’ambito di applicazioni di rete su iOS e Mac OS X. La vulnerabilità è stata scoperta in Febbraio ed è stata patchata qualche settimana fa con un nuova versione, la 2.5.2. Il problema è che molte app utilizzano ancora la vecchia versione vulnerabile al bug HTTPS.

AFNetworking

Grazie a questo bug, molte informazioni personali possono essere intercettate tramite login e altre informazioni inviate mediante HTTPS. L’attacco utilizzato è di tipo man-in-the-middle, un attacker che si pone fra noi e la nostra destinazione intercettando tutto quel che passa, in questo caso simulando un falso hotspot Wi-Fii. Solitamente questo tipo di attacco dovrebbe fallire in quanto l’hotspot in questione non possiede il giusto certificato di sicurezza.

È proprio qui che interviene il bug HTTPS citato. Il bug scoperto da SourceDNA infatti permette il fallimento del controllo del certificato da parte delle applicazioni vulnerabili, andando così a prendere quello offerto dall’hotspot maligno come buono.

Inizialmente SourceDNA aveva deciso di mantenere privati i nomi delle applicazioni affette dal bug HTTPS, dando tempo così agli sviluppatori di aggiornare la propria app risolvendo il bug. Un primo scan di un milione di applicazioni aveva localizzato il bug HTTPS su migliaia di app, alcune di Microsoft e di Yahoo. Un successivo scan (questa volta completo) effettuato la settimana scorsa ha fatto notare che altre app si sono aggiunte all’elenco, ma che allo stesso tempo le aziende sopracitate hanno risolto il bug.

La stessa azienda ha messo poi a disposizione un tool che permette di scoprire se l’app che stata utilizzando sia affetta o meno da bug, rendendo anche note alcune applicazioni affette dal bug HTTPS.

afnetworking-bug

Questo il codice maligno che se utilizzato permette l’utilizzo del bug HTTPS. Noi rimaniamo sintonizzati sull’argomento per informarvi in caso di novità. Voi potreste segnalare nel box dei commenti le app che riscontrano il bug, utilizzate da voi, andando ad allertare così anche gli altri lettori.

[Via]