Dozzine di applicazioni per iOS che dovrebbero crittografare i dati dei loro utenti non lo fanno nel modo giusto, almeno secondo Will Strafach, CEO di Sudo Security Group. Strafach ha infatti scoperto che 76 app iOS sono risultate vulnerabili ad attacchi che possono intercettare dati protetti.

Ciò dipende dal fatto che gli sviluppatori di queste app hanno sbagliato la configurazione del codice relativo alle impostazioni di rete delle lo app, con il risultato che le app incriminate accettano certificati Transport Layer Security (TLS) non validi.

Questi certificati servono per mantenere al sicuro le comunicazioni delle app e, senza di essi, un hacker può essenzialmente “sbirciare” in una rete e ottenere i dati invitati dall’app, come ad esempio le informazioni di login. “Questo tipo di attacco può essere scagliato se un hacker si trova nel raggio di azione del Wi-Fi del vostro device mentre questo è in uso. Ciò può avvenire sia all’esterno, sia in casa vostra nel caso l’hacker sia abbastanza vicino”, ha dichiarato Strafach.

app ios

La scoperta della vulnerabilità di queste app è avvenuta grazie al servizio di sicurezza verify.ly della compagnia di Strafach, che ha riconosciuto con una scansione effettuata su un iPhone con iOS 10 centinaia di applicazioni con un’elevata probabilità di essere intercettate e spiate. Da questo numero si è poi scesi alle 76 app che sicuramente sono vulnerabili, scovate utilizzando un proxy per inserire all’interno della connessione un certificato TLS non valido.

Di queste app iOS ben 43 risultano a medio o alto rischio, nel senso che potrebbero esporre agli hacker informazioni di login o token di autenticazione. Alcune di queste app appartengono a banche, fornitori sanitari e sviluppatori di app particolarmente sensibili a livello di dati personali. I nomi delle app non sono stati comunicati da Strafach per dare in modo ai loro sviluppatori di sistemare il problema.

Le restanti 33 app sono state invece considerate a basso rischio, dal momento che potrebbero rivelare solo parzialmente dei dati sensibili (l’indirizzo email dell’utente ad esempio). Tra queste si segnalano il servizio gratuito di messaggistica ooVoo, app per caricare video su Snapchat e servizi di musica in streaming poco conosciuti.

In tutto le 76 app scoperte da Strafach hanno totalizzato oltre 18 milioni di download stando ai dati forniti da Apptopia. A questo punto gli sviluppatori, se lo vorranno, dovranno mettere mano al codice per risolvere queste vulnerabilità, mentre agli utenti che utilizzano queste app Strafach consiglia di disattivare il Wi-Fi quando si trovano in luoghi pubblici e di utilizzare la rete dati, rendendo così più difficile per gli hacker sfruttare questa vulnerabilità.