Daniele Hruska Nell'ottobre 2014, un gruppo di sei ricercatori ha aggirato con successo tutti i meccanismi di sicurezza di Apple per inserire un'app sul Mac App Store e sull'App Store. In pratica potrebbero introdurre applicazioni dannose nei dispositivi Apple che sarebbero in grado di ottenere informazioni molto preziose. Secondo un accordo con Apple, questo fatto non sarebbe stato pubblicato per circa sei mesi, cosa che i ricercatori hanno rispettato.
Ogni tanto sentiamo parlare di falle nella sicurezza, ogni sistema ne è dotato, ma questo è davvero grosso. Consente a un utente malintenzionato di inviare un'app attraverso entrambe le App Stories che possono rubare la password del portachiavi iCloud, l'app Mail e tutte le password archiviate in Google Chrome.
[youtube id=”S1tDqSQDngE” larghezza=”620″ altezza=”350″]
La falla può consentire al malware di ottenere una password praticamente da qualsiasi app, preinstallata o di terze parti. Il gruppo è riuscito a superare completamente il sandboxing e ha così ottenuto dati dalle applicazioni più utilizzate come Everenote o Facebook. Tutta la questione è descritta nel documento "Accesso non autorizzato alle risorse tra app su MAC OS X e iOS".
Apple non ha commentato pubblicamente la questione e ha solo richiesto informazioni più dettagliate ai ricercatori. Sebbene Google abbia rimosso l'integrazione del portachiavi, non risolve il problema in quanto tale. Gli sviluppatori di 1Password hanno confermato di non poter garantire al 100% la sicurezza dei dati archiviati. Una volta che un utente malintenzionato entra nel tuo dispositivo, non è più il tuo dispositivo. Apple deve trovare una soluzione a livello di sistema.
Sicuramente è un errore, ma il consiglio dipende dalla persona, da quale applicazione installa..
e se installo applicazioni dall'App Store di ofiko, a cui accedo dai "segnalibri" predefiniti dell'iPhone, non ho alcun sistema iOS "craccato", metterà in pericolo anche la mia piccola cosa, ptm. il mio iPhone con iOS 8,3? Secondo l'articolo ho la sensazione che sia... E quali applicazioni installo? Dall'opzione "gratuito".
Il punto è che queste applicazioni malware possono entrare nell'App Store in modo ufficiale e l'utente le scarica pensando che siano a posto dopo aver superato l'ispezione di Apple. Quindi è meglio non installare applicazioni di sviluppatori sconosciuti. Almeno così ho capito.
Esattamente come dici tu. In ogni caso, se le informazioni sono vere, sono piuttosto sorpreso che Apple lo sapesse da più di sei mesi e non abbia fatto nulla al riguardo.
Ritengo che Apple probabilmente abbia integrato il controllo nell'App Store dopo aver ricevuto l'informazione, e il rischio in questo senso per iPhone/iPad è minimo.
Tuttavia, non deve essere così trascurabile con MAC, dove le applicazioni esterne al MacAppStore vengono installate abbastanza normalmente.