Gli esperti sostengono che grazie a una serie di attacchi sono stati in grado di aggirare i controlli di sicurezza anche delle app di iPhone, iPad e Mac. I problemi della società coreana riguardano invece una vulnerabilità della tastiera SwiftKey del Samsung Galaxy S6 e di altri smartphone
Questa volta nessuno può ridere delle disgrazie della concorrenza. Apple e Samsung, non dimenticando le app, devono fare fronte a grandi problemi relativi alla sicurezza. Partiamo dalle Mela, messa sotto accusa da un gruppo di ricercatori specializzati nella security che hanno scoperto un “allarmante vulnerabilità” nel sistema operativo mobile e desktop.
Gli esperti, che appartengono alle università dell’Indiana e di Pechino oltre che al Georgia Institute of technology, sostengono che grazie a una serie di attacchi sono stati in grado di aggirare i controlli di sicurezza, acquisire password e dati critici anche delle app di iPhone, iPad e Mac. I ricercatori hanno testato l’attacco (qui un video di spiegazione) su un ampio numero di applicazioni che nell’88% dei casi hanno dimostrato di essere completamente esposte.
Grazie al modo in cui le applicazioni dialogano fra loro i ricercatori sono stati in grado di conoscere la password di iCloud, email e home banking, oltre al token segreto di Evernote.
Il paper realizzato dagli esperti sostiene che in pratica è stato realizzato un malware caricato nell’app store di Apple sotto forma di una normale applicazione. Da qui in poi il malware è stato in grado di rubare le credenziali dalle applicazioni instrallate sui telefoni dei ricercatori.
Il responsabile del team, Luyi Xing, ha dichiarato che il gruppo è in grado di “ottenere l’accesso non autorizzato ai dati sensibili di altre applicazioni come le password di iCloud, posta, app e tutte le password web memorizzate da Google Chrome”. Xing ha avvisato il quartier generale di Cupertino dal quale è giunta la richiesta di sei mesi di tempo per affrontare il problema. I sei mesi però sono passati e la vulnerabilità è ancora lì.
I problemi di Samsung riguardano invece una vulnerabilità della tastiera SwiftKey del Samsung Galaxy S6 e di altri smartphone. In questo caso la società specializzata NowSecure afferma che sarebbe possibile anche intercettare le chiamate oppure avere accesso a Gps, fotocamera e microfono, installare app maligne, manomettere il funzionamento dello smartphone e tentare l’accesso ai dati personali.
Anche in questo caso la società ha avvisato Samsung nel dicembre 2014 che ha risposto assicurando che la patch sarebbe stata pronta nella prima parte del 2015. Tuttavia la patch dovrebbe arrivare agli utenti tramite i carrier, ma non si sa ancora se sia stata realizzata e poi veicolata sui 600 milioni di smartphone a rischio. I recenti test effettuati hanno dato esiti sconfortanti. Ma non è finita qui. Il mondo è pieno di esperti in sicurezza alla ricerca di nuovi buchi da scoprire. Questa volta i protagonisti sono un gruppo di tedeschi che hanno scoperto un difetto nel modo in cui migliaia di app immagazzinano i dati degli utenti con password e altre informazioni personali a disposizione dei malintenzionati. Il team ha trovato 56 milioni di dati non protetti distribuiti fra giochi, social network, messaggi, applicazioni mediche e di trasferimento bancario.
“In quasi tutte le categorie abbiamo trovato una app che presenta questa vulnerabilità “, ha spiegato Siegfried Rasthofer del Secure Information Technology and Darmstadt University of Technology. Ma secondo il responsabile Eric Bodden il numero “sarà probabilmente nell’ordine dei miliardi”.
Se non altro i tedeschi non hanno prove che fino a oggi la vulnerabilità sia stata sfruttata.