Diverse app per iOS sarebbero esposte a una vulnerabilità HTTPS, un problema che potrebbe permettere a malintenzionati di rubare password e altri dati sensibili dell’utente. È quanto diramato dalla società d’analisi SourceDNA, in merito ad alcune librerie utilizzate dal sistema operativo mobile.
Sarebbero all’incirca 1.500 le applicazioni per iOS coinvolte dalla problematica, stando alle ricerche della società d’analisi. Il problema potrebbe essere connesso ad AFNetworking, una libreria open-source utilizzata dalle applicazioni per funzioni appunto di networking. Nella versione 2.5.1, così come sostenuto dalla ricerca, sarebbe stato introdotto per errore un bug che permetterebbe a malintenzionati di presentare un falso certificato SSL e di decodificare, quindi, i dati HTTPS. Il sistema funzionerebbe purché utente e aggressore siano connessi alla stessa rete WiFi.
Il malfunzionamento è stato risolto lo scorso mese nella versione 2.5.2 di AFNetworking, ma dalle analisi di SourceDNA pare sia emerso come 1.500 applicazioni, tra cui alcune anche gettonate, stiano ancora utilizzando il vecchio codice. La società avrebbe quindi contattato privatamente i developer coinvolti prima di rendere nota la notizia, ma nonostante l’informazione molte app risulterebbero ancora vulnerabili. Source DNA ha quindi messo a disposizione un tool di ricerca online, chiamato “iOS Security Report”, per verificare se le applicazioni a propria disposizione siano affette o meno dalla problematica, ovvero siano ferme alla vecchia versione o abbiano già aggiornato ad AFNetworking 2.5.2.
Non solo iOS, però: giungono notizie anche sul conto di OS X Yosemite. La scorsa settimana l’esperto di sicurezza Patrick Wardle ha scoperto come OS X 10.10.3, l’ultimo aggiornamento del sistema operativo desktop, presenti ancora questioni legate a RootPipe. La problematica permetterebbe a malintenzionati di ottenere accessi di root senza l’autenticazione dell’utente, un fatto che potrebbe mettere a rischio i dati sensibili degli utilizzatori. Il ricercatore non ha svelato i dettagli della procedura, per ragioni di ovvia sicurezza, ma pare abbia già allertato Apple sul malfunzionamento.