I 3 problemi alla sicurezza di iOS scoperti da un ingegnere Google

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Non ci stancheremo mai di ripeterlo: iOS non è (così) più sicuro di Android. La ragione della ripetizione ossessiva, quasi liturgica che questa semplice frase ha avuto ed avrà in futuro all’interno delle prossime puntate di #Applefun è da cercarsi nell’enorme massa d’utenza che ancora crede che il sistema operativo di Apple possieda un grado di sicurezza esageratamente (o minimamente) superiore ad Android, tale da considerarlo uno dei più profondi punti di svantaggio del SO di Google. Ciò accade perché non tutti sono informati sui problemi alla sicurezza di iOS.

Questo dislivello, se presente, è infatti solamente frutto di un carsismo critico non motivato, e di una mancata e corretta informazione da parte delle principali testate del settore sui bug, gli exploit ed i problemi alla sicurezza che affliggono iOS in quanto sistema operativo.

Tra questi, nelle ultime settimane i più evidenti sono stati rintracciati dall’ingegnere di Google Felix Krause, che ha trovato un facile sistema di phishing non ancora risolto da Apple che affligge tutti gli iPhone, e molto altro. Siete dunque pronti per scoprire tutti i problemi alla sicurezza di iOS?

#1 – Big Brother is watching you

Molti conoscono la pubblicità che Steve Jobs fece realizzare nel 1984 per la promozione commerciale del nuovo Macintosh: “1984” non intendeva esprimere un sentimento di protesta a favore del diritto alla privacy, ma piuttosto contro le conseguenze di un monopolio del settore dei personal computer da parte di IBM, e per estensione dell’assenza di una qualsivoglia forma di concorrenza in un mercato dominato da prodotti di qualità discutibile.

Ironicamente, quello stesso spot promozionale oggi si ritorce contro Apple ogni qualvolta l’azienda sia chiamata in causa per questioni legate alla privacy. Ed uno dei primi problemi alla sicurezza di iOS scoperti da Krause che vi presentiamo riguarda proprio l’opportunità, fornita dal sistema operativo e mai risolta, di catturare video e foto tramite la fotocamera posteriore o anteriore senza il consenso dell’utente, e senza che nessuna spia o segnale venga attivato per segnalargli l’avvenuta registrazione.

Un problema alla sicurezza di iOS era già stato segnalato similmente da parte di numerose associazioni per la difesa della privacy qualche tempo fa, in seguito alla presentazione della modalità di sblocco Face ID per l’iPhone X. L’Electronic Frontier Foundation, insieme a molte altre sigle, segnalarono la facilità con cui Apple avrebbe potuto sfruttare il Face ID per registrare e catalogare ogni movimento ripreso dalla telecamera, in costante attivazione per la natura stessa del Face ID.

Il caso è dunque simile, ma la portata del pericolo è maggiore: non più solo Apple, ma tutte le app a cui abbiate mai concesso l’accesso alla fotocamera sono in grado di servirsene in qualsiasi momento senza che possiate accorgervene, e caricare quanto ottenuto su server esterni. Ma non solo: come Krause ben segnala, un’app iOS è anche in grado in questo caso di effettuare un livestream di quanto visualizzato dalle due fotocamere, verificare la posizione di un utente in base al materiale ottenuto, elaborare le immagini attraverso il Vision Framework di iOS per trasformare in algoritmo le emozioni dell’utente, creare un modello 3D del viso o cercarne immagini su Internet. Tutti pericoli per la privacy dalla portata enorme, ma che Apple non sembra considerare dato che le segnalazioni effettuate da Krause, finora, non hanno avuto risposta.

Le soluzioni fai-da-te per proteggere la propria privacy finora non si sono rivelate ottimali, nè affrontabili a lungo termine: Krause infatti suggerisce di togliere l’accesso a tutte le app che possono gestire la fotocamera, ed effettuare manualmente il caricamento delle immagini dalla galleria – fotografie ottenute tramite l’app di sistema – o tramite Copia-e-Incolla, oppure otturare materialmente il sensore quando non viene utilizzato (come nei laptop, insomma). Ma vorreste davvero stendere un pezzo di scotch su un device da €700+ che avete acquistato anche per l’eleganza del design?


#2 – Un’immagine vale più di mille metadata

Il secondo problema alla sicurezza di iOS scoperto da Krause si collega indirettamente a quello precedentemente illustrato, poichè permette ad applicazioni malevole in possesso del permesso di accedere alla galleria del device di scoprire gli spostamenti di un utente negli ultimi anni – o, perlomeno, dalla prima fotografia scattata con il proprio smartphone Apple.

Il modello costruito da Krause

Si tratta di un buco del sistema di revisione della sicurezza dell’App Store; Krause si è servito del progetto detect.location per dimostrare che l’accesso alla galleria consente alle app iOS di elaborare una dettagliata mappa degli spostamenti dell’utente senza analizzare nel dettaglio quanto effettivamente mostrato dalle immagini stesse. La chiave di volta sono i metadata, informazioni archiviate all’interno delle fotografie che consentono di conoscere:

  • l’esatta posizione del dispositivo registrata nel momento in cui veniva scattata scattata;
  • la velocità fisica di movimento della fotocamera all’istante della cattura dell’immagine;
  • il modello della fotocamera;
  • l’orario e la data di ripresa;
  • altri metadata

In base a queste informazioni, opportunamente elaborate – Krause ha affermato di non essergli occorsa più di un’ora per costruire un prototipo (seppur primitivo) di detect.location, e per comprendere la portata del problema alla sicurezza di iOS – è possibile ricavare le abitudini, i luoghi maggiormente frequentati e molte altre informazioni personali.

Una delle soluzioni possibili, ed unicamente implementabili da Apple stessa, potrebbe essere la separazione del permesso di recupero di un’immagine a quello che consente di accedere all’intera galleria.


#3 – Let’s go phishing

Il phishing sarà la sfida del futuro: questo è il pensiero di Google, che ha scoperto attraverso una ricerca effettuata tra il 2016 ed il 2017 in collaborazione con l’Università della California che gli attacchi di phishing portano ad un successo tra il 12% ed il 25%, una percentuale molto più alta rispetto ad altre tipologie di furto di credenziali.

Il phishing è un’attività malevola che comporta la simulazione di un portale, una piattaforma o una pagina web di social network, siti di banche o altre attività sensibili per convincere l’utente a fornire i dati d’accesso a quella che in realtà è una falsa schermata, controllata da hacker che si serviranno delle informazioni acquisite per effettuare da sè il login, ed eventualmente chiudere la vittima “fuori”.

Qual è vera, e quale no?

Anche Apple, come scritto nella sua Secure Code Guide, sostiene la necessità di concentrare gli sforzi degli sviluppatori sul contrasto alle attività di phishing ma, come riportato da Krause, questa volontà non si traduce nei fatti. Le API UIAlertController, se in possesso di uno sviluppatore, sono in grado di permettere ad un hacker di visualizzare in qualsiasi momento un pop-up per la richiesta di immissione di password dei propri account principali (iCloud, o GameCenter) completamente identici alle versioni originali.

E questo è uno dei nuovi problemi alla sicurezza di iOS, spiega ancora l’ingegnere di Google, conseguenza sia di una disattenzione pratica, sia di un’errata cultura inculcata da Apple nei propri utenti: inserire senza riflessioni ulteriori qualsiasi credenziale venga richiesta da un pop-up. Da una parte, nessuna app malevola è ancora stata catturata nell’uso più scorretto possibile di questa feature, anche grazie al sistema di revisione delle app accettate nell’App Store; dall’altra, uno sviluppatore sufficientemente paziente potrebbe attendere la diffusione della propria, legittima applicazione per procedere all’uso illegittimo delle API UIAlertController ed effettuare un attacco di phishing a tappeto.

Ancora, non esiste un modo per l’utente di capire se un pop-up è autentico o altrimenti generato da un’app maligna: nonostante tutti gli accorgimenti grafici possibili, l’aspetto potrà sempre essere simulato. Ma si attendono miglioramenti.

Scopri QUI invece tutti i problemi di sicurezza incontrati da Google con le Accessibility Service API e gli attacchi di phishing, e non solo!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime puntate di #Applefun nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte GitHub Felix Krause
Via The Register The Next Web
Commenti
//