Le 6 minacce più gravi alla sicurezza di iOS

Restate vigili

00_top6iosthreats-100522327-orig
Image courtesy Shutterstock

Che dobbiate difendere documenti aziendali o semplicemente vogliate evitare che le vostre foto private diventino pubbliche (ricordate il #fappening?), l’azienda di ricerca Lacoon Mobile Security ha compilato una lista di potenziali rischi a cui i dispositivi iOS sono esposti.

Sorvegilanza di iOS e Mobile Remote Access Troyan (mRATs)

01_trojans-100522329-orig
Image courtesy Shutterstock

Questi attacchi effettuano il jailbreak di un dispositivo, cosa che comporta la rimozione dei meccanismi di sicurezza insiti in iOS, e installa software di sorveglianza e troyan che forniscono all’attaccante la possibilità di prendere il controllo su tutto ciò che è immagazzinato o trasmesso attraverso il dispositivo. Gli attaccanti possono effettuare in vari modi: entrando brevemente in possesso del dispositivo, compromettendo il PC normalmente utilizzato per la sincronizzazione via USB, ma (in base alla versione di iOS usata) anche con un exploit via web. Ovviamente, se l’utente ha già provveduto autonomamente a effettuare volontariamente un jailbreak, le cose per i cattivi sono ancora più facili.

Falsi certificati Sviluppatore o Enterprise per iOS

Image courtesy Shutterstock
Image courtesy Shutterstock

Questi attacchi utilizzano certificati di distribuzione per caricare un’applicazione contenente malware, evitando così di passare attraverso il sistema di validazione dell’App Store di Apple. Per mantenere l’integrità dell’Apple Store ma permettere comunque il caricamento di software di prova o a uso interno, Apple offre due tipi diversi di certificati di terze parti: per sviluppatori e per aziende. I certificati per sviluppatori permettono ai programmatori di testare le proprie app prima che diventino pubbliche nell’App Store, mentre i certificati Enterprise permettono alle aziende di creare una sorta di marketplace interno per le app autorizzate o sviluppate ad hoc. Dietro le scene, iOS si assicura che ciascuna app sia firmata con un certificato affidabile prima di consentirne l’installazione. I problemi sorgono quando un attaccante è in grado di ottenere un certificato valido per il proprio malware, per esempio sottraendolo da un pc o acquistandolo al mercato nero. Potrebbero così spingere la vittima a scaricare un’app apparentemente insospettabile, perché accompagnata da un certificato, e infettare il proprio dispositivo.

Profili iOS maliziosi

Image couretsy: Shutterstock
Image couretsy: Shutterstock
ADV
Trusted Cybersecurity Bitdefender

Sanità in Italia, i sei pilastri per una cybersecurity più efficiente

Il settore è tra i più esposti, come dimostra l’attacco ransomware alla Regione Lazio. Una ricerca Bitdefender nel rapporto Clusit evidenzia gli elementi su cui è più urgente lavorare LEGGI TUTTO

Questi attacchi sfruttano i permessi di un profilo per aggirare i meccanismi di sicurezza tipici e riuscire a fare in pratica un po’ di tutto. Un profilo è un file di configurazione opzionale particolarmente sensibile, che può ridefinire differenti parametri della funzionalità del sistema, come il gestore telefonico, supporto per la gestione di dispositivi mobili remota (MDM) e le impostazioni di rete. Un utente potrebbe essere spinto a scaricare un profilo forgiato ad hoc per dirottare tutto il traffico del dispositivo verso un server controllato dall’attaccante, che può quindi installare ulteriori software di controllo e anche decifrare le comunicazioni.

Attacchi Man in the Middle (MitM) con Wi-Fi

Image courtesy Shutterstock
Image courtesy Shutterstock

Un attacco MitM avviene quando il dispositivo si college a un hotspot Wi-Fi fasullo o compromesso. Visto che tutto il trafficoa questo punto passano da una rete controllata dall’attaccante, è possibile intercettare o alterare le comunicazioni. Gli attacchi MitM non sono certo una novità, ma la presenza di smartphone nella vita personale e professionale delle persone ha reso questi questo tipo di bersagli particolarmente attraenti. Sfortunatamente, i tipici segnali di avviso che avvertono gli utenti di PC della scarsa affidabilità di una rete Wi-Fi sono molto meno efficaci, o addirittura non presenti, sui dispositivi mobili.

Vulnerabilità di WebKit

Img couresy: Shutterstock
Img couresy: Shutterstock

Il browser safari è basato su Webkit. Come tutti i motori di rendering html e javascript, Webkit ha delle vulnerabilità che possono essere sfruttate per fare eseguire script e codice non autorizzato, infettando il dispositivo. Una celebre tecnica di jailbreak di iOS 4, chiamata JailbreakMe, utilizzava proprio una vulnerabilità di Safari per sbloccare il telefono semplicemente visitando una pagina web.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!

Andrea Grassi
Editor di Computerworld e CIO Italia Giornalista professionista, ma con una formazione tecnico-scientifica, dal 1995 ha lavorato per alcune delle più importanti testate di informatica in Italia. È stato redattore di .Net Internet Magazine, il Mio Computer e MacFormat, responsabile di redazione di Computer Magazine, PC Magazine, Hacker Jorunal, Total Computer e del portale CHIP Download. Come publisher ha curato l’edizione italiana di CHIP, PC World, Macworld e ha ideato e lanciato le riviste mensili iPad Magazine e Android Magazine. È autore dei libri Windows XP per tutti e Mac OS Tiger pubblicati da McGraw-Hill e ha tradotto svariati altri manuali di programmazione, cybersecurity e per software professionali. Dal 2015 cura per Fiera Milano Media le testate Computerworld e CIO Italia dell’editore americano IDG. Ha seguito in particolar modo l’evoluzione di Internet, dagli albori della sua diffusione di massa, analizzandone gli aspetti tecnici, economici e culturali, i software di produttività, le piattaforme web e social, la sicurezza informatica e il cybercrime. Più di recente, segue le tematiche relative alla trasformazione digitale del business e sta osservando come l’intelligenza artificiale stia spingendo ogni giorno più in là il confine della tecnologia. Puoi contattarlo via email scrivendo ad andrea.grassi@cwi.it e seguirlo su Twitter (@andreagrassi) o Linkedin.