Una falla mette a rischio l’applicazione per iPhone di Citigroup: durante un normale lavoro di controllo della sicurezza, gli sviluppatori del software che permette l’accesso al proprio conto corrente presso una delle più grandi società bancarie al mondo – Citigroup – hanno scoperto che i dati utilizzati per effettuare il login sono salvati dall’applicazione in un file nascosto, che potrebbe essere trasferito su un PC se questo fosse sincronizzato con il dispositivo.
Secondo le prime stime, gli utenti a rischio sarebbero circa 117.600 e a tutti è consigliato l’aggiornamento ad una nuova versione rilasciata prontamente dal team di sviluppo. L’update dell’applicazione risolve la falla andando ad eliminare anche ogni altro eventuale file contenente dati sensibili salvato in precedenza. La versione che risolve il problema è la 2.0.3, per cui chiunque utilizzi una versione precedente è invitato caldamente ad aggiornare.
Nonostante il gran numero di utenti che utilizzano l’applicazione di Citigroup, però, sembra che il rischio effettivo non sia poi così alto. Secondo John Hering, CEO di Lookout, società operante nel settore della sicurezza mobile, i dati di accesso sarebbero alla mercé di eventuali malintenzionati che potrebbero realizzare un’apposita applicazione per andare a reperire i file in questione. Citigroup, invece, sostiene che l’unica applicazione autorizzata ad accedere a tali file è proprio quella da realizzata dall’istituto bancario.
A stemperare i toni ci ha pensato anche Charlie Miller, esperto ricercatore che si occupa di vulnerabilità relative ad iPhone, il quale evidenzia come sia necessario un exploit da remoto per poter accedere ai file incriminati, operazione abbastanza difficile da eseguire. Il discorso cambia, però, nel caso in cui venga ritrovato un iPhone smarrito: in tale situazione sarebbe sufficiente un Jailbreak del dispositivo ed i dati risulterebbero facilmente reperibili. Ciò, sempre secondo Miller, anche a causa della mancanza di un sistema di criptazione dei file salvati.
Altre applicazioni sviluppate dalla medesima compagnia sembra non sembrano essere affette da tale bug e dunque risultano essere tranquillamente utilizzabili senza alcun timore. Nonostante i numerosi test effettuati sia in fase di sviluppo che dopo il rilascio ufficiale, i programmatori non sono stati in grado di riscontrare tale vulnerabilità, per cui solo a distanza di tempo è stata possibile intervenire sviluppando l’apposita patch correttiva.