Ricercatore scopre una falla in iOS e Apple lo caccia

falla_ios


Apple è molto orgogliosa del suo sistema di approvazione dell'App Store. Peccato che il ricercatore esperto in sicurezza Charlie Miller, che fa parte dell'iOS Dev Program, abbia trovato una falla nel codice che permette alle applicazioni "buone" di diventare "cattive". Ecco come può un'applicazione scaricata dall'App Store diventare una minaccia.
Quello che Charlie Miller ha scoperto è che i malintenzionati possono creare un'app che passi il rigoroso processo di approvazione di Apple e, una volta nell'App Store, sfrutti la falla nel codice dei dispositivi Apple. La falla è presente in iOS 4.3 e successivi. Il problema è che JavaScript può girare ad un livello molto più profondo di prima per velocizzare Safari. Apple ha creato un'eccezione per il browser che accetta codice non firmato per far girare JavaScript più velocemente accedendo alla memoria del dispositivo. Ed è questa eccezione che viene sfruttata dalle app malevole per accedere e scaricare da remoto i vostri dati personali, i contatti, le foto, la musica e può anche attivare la modalità vibrazione. E anche far vibrare da remoto un iPhone può sembrare innocuo, anche se fastidioso per l'utente, controlli di questo genere su iOS possono potenzialmente portare al controllo di altre funzioni. Date un'occhiata al video qui sotto per vedere come la falla può essere sfruttata.


Apple ha già espulso dall’App Store InstaStock, l’app che Miller ha usato per la sua dimostrazione. Peccato che insieme all’applicazione abbia cacciato anche Miller, il quale avrebbe voluto dimostrare il funzionamento della sua scoperta alla conferenza SysCan che si svolgerà la prossima settimana a Taiwan. Poco dopo la dimostrazione video della falla, infatti, Miller si è accorto che le sue credenziali di sviluppatore erano state ritirate da Apple.

Miller ha annunciato la cosa via Twitter ed ha commentato: “Prima danno ai ricercatori accesso ai programmi per gli sviluppatori (anche se io ho dovuto pagare per averlo) e poi mi buttano fuori perché ho fatto ricerca. Sono arrabbiato”. (c.c.)
[Fonte: Gizmodo USA]

Tags :