Verify.ly è un servizio web che consente di esaminare il codice con cui sono realizzate le applicazioni mobili. La scansione automatica del codice binario degli applicativi presenti sull'App Store ha permesso di ottenere grandi quantità di informazioni relativi a problemi di sicurezza.
Will Strafach di Verify.ly ha pubblicato un resoconto dettagliato dei controlli effettuati sulle applicazioni presenti sullo store Apple. Nel suo articolo afferma di aver trovato centinaia di app con un'alta probabilità di vulnerabilità per l'intercettazione dei dati protetti da TLS, ma sono 76 le app che ha potuto confermare direttamente grazie all'uso di un iPhone con IOS 10.
Durante il test, Strafach ha potuto confermare la presenza di 76 applicazioni che consentono un silenzioso "man-in-the-middle" da eseguire su collegamenti che dovrebbero essere protetti da TLS (HTTPS) che, invece, consente l'intercettazione e/o manipolazione dei dati in movimento.
Secondo stime di Apptopia, vi è stato un totale complessivo di oltre 18 milioni di download delle app incriminate. Per 33 app di iOS, questa vulnerabilità si può ritenere a basso rischio, l'accesso ai dati sensibili è solo parziale. Per 24 delle applicazioni questa vulnerabilità è di rischio medio. Sono in grado di intercettare le credenziali di accesso ai servizi e/o conoscere le credenziali di autenticazione degli utenti registrati a siti web.
Per 19 app questa vulnerabilità è ad alto rischio in quanto in grado di accedere a tutte le credenziali di servizi finanziari, medici e/o di autenticazione. La funzione App Transport Security di iOS non permette di bloccare questa vulnerabilità. Dal primo gennaio di quest'anno gli sviluppatori avrebbero dovuto adeguarsi al protocollo HTTPS poi la scadenza è stata rinviata a data da destinarsi.
Come può avvenire l'attacco
L'attacco dalle applicazioni infette può avvenire in qualunque momento si è collegati ad una rete WiFi. Certamente quelle pubbliche sono le più pericolose, ma non sono le sole a poter subire attacchi. Tutto dipende semplicemente dalla distanza a cui si trovano aggressore e aggredito con il proprio iPhone.
Questo può avvenire ovunque, in pubblico (bar, ristoranti, ecc.) o all'interno della propria casa.
Applicazioni vulnerabili (rischio basso)
Ma quali sono queste applicazioni vulnerabili? L'elenco, come detto, ne contiene 76, molte delle quali molto famose e utilizzate. Iniziamo da quelle che hanno un livello di rischio basso tra cui sono incluse applicazioni iOS che sono già note come vulnerabili.
- ooVoo, VivaVideo, Snap Upload per Snapchat, Uconnect access, Volify - Free Online Music Streamer & MP3 Player, Uploader free per Snapchat, Epic!, Mico, Safe Up for Snapchat, Tencent Cloud, Uploader for Snapchat, Huawei HiLink (Mobile WiFi), VICE News, Trading 212 Forex & Stocks, 途牛旅游-订机票酒店火车票汽车票特价旅行, CashApp.
- Clone of legitimate service (rimossa dall'App Store ieri 7 febbraio), 1000 Friends for Snapchat, YeeCall Messenger, InstaRepost , Loops Live, Privat24, Private Browser, Cheetah Browser, AMAN BANK, FirstBank PR Mobile Banking, vpn free, Gift Saga, Vpn One Click Professional, Music tube, AutoLotto, Foscam IP Camera Viewer by OWLR for Foscam IP Cams, Code Scanner by ScanLife.
Le applicazioni con rischio medio e alto di vulnerabilità al momento non saranno pubblicate per motivi di sicurezza o comunque solo dopo aver contattato le banche interessate fa sapere Strafach
Come risolvere il problema
Apple non può correggere il problema pertanto l'onere poggia esclusivamente sugli sviluppatori.
In attesa che qualcosa cambi gli utenti finali possono agire momentaneamente per garantirsi una certa sicurezza. Per farlo basta non utilizzare la rete WiFi, nemmeno quella di casa. Con la connessione dati la vulnerabilità è ancora presente, ma l'intercettazione cellulare è più difficile, richiede hardware costoso, è molto più evidente ed è illegale. Pertanto, è molto meno plausibile per un malintenzionato rischiare in questo senso.