Emerge una nuova vulnerabilità per iOS, sebbene al momento non sembra sia mai stata sfruttata da malintenzionati per accedere illecitamente ai dati personali degli utenti. Chiamata Trustjacking e scoperta dai ricercatori Symantech, la falla potrebbe permettere a terzi di accedere alle informazioni salvate su iPhone e iPad sfruttando la funzione di sincronizzazione wireless con iTunes.
La vulnerabilità è stata confermata dagli esperti di Symantech, nonché resa pubblica in occasione di una recente intervista per la versione statunitense di Wired. Secondo quanto reso noto, malintenzionati potrebbero aver accesso ai dati iOS sfruttando la comunicazione wireless che si viene a installare tra il computer e il dispositivo mobile, impiegata quest’ultima per la sincronizzazione e il backup dei dati.
Come già ampiamente noto, dalle impostazioni di iTunes è possibile, dopo aver collegato iPhone o iPad al computer tramite cavo USB, impostare la possibilità di eseguire sincronizzazioni tramite reti WiFi. Sfruttando delle stringhe di codice particolarmente complesse, terze parti potrebbero ingannare l’utente spingendolo ad acconsentire alla condivisione dei suoi dati, abusando della sua fiducia. Ed è proprio sul termine “fiducia” che si basa il nome dell’exploit, al momento mai effettivamente tradotto in attacchi reali.
L’esempio tipico è quello di un utente che, trovandosi a casa di amici o in un luogo pubblico, decide di collegare via USB lo smartphone a un laptop, per ricaricarne la batteria. Al primo collegamento, iTunes chiederà l’autorizzazione per accedere al dispositivo mobile rilevato: un fatto più che normale, soprattutto all’interno delle mura domestiche. In caso il computer fosse stato alterato, però, la conferma alla domanda di iTunes potrebbe silenziosamente autorizzare malintenzionati ad accedere al dispositivo sfruttando la connessione WiFi, quest’ultima già attivata per le classiche operazioni di sincronizzazione. Così spiega Adi Sharabani di Symantec:
Abbiamo scoperto questa falla per sbaglio. Roy stava conducendo alcune ricerche e ha connesso il suo iPhone al suo computer. Accidentalmente ha però realizzato di non essere connesso al suo smartphone. Era connesso allo smartphone di un suo collega, il quale aveva collegato il suo iPhone al computer di Roy qualche settimana fa.
Come già accennato, al momento non sono note applicazioni reali per questa vulnerabilità, mentre Apple non si è espressa in merito. In ogni caso, è possibile reimpostare tutte le proprie connessioni dal menu Privacy delle opzioni Generali di iOS, per eliminare eventuali autorizzazioni dubbie effettuate in passato.