AirDrop è un servizio che Apple ha introdotto nel sistema operativo con il lancio di iOS 7. Gli utenti possono scambiarsi foto e video (sempre che utilizzino dispositivi basati su iOS) senza la necessità di un “contatto fisico” tra i device e senza appoggiarsi a strumenti per la condivisione di file sul cloud.
Mark Dowd, conosciuto ricercatore esperto di problematiche correlate con la sicurezza informatica, ha scoperto una brutta falla in Airdrop che consente ad altri utenti di caricare malware sui dispositivi altrui. Il problema è grave perché non è necessario che l’utente-vittima approvi esplicitamente l’installazione del malware in arrivo: è sufficiente che il servizio AirDrop ed il modulo Bluetooth siano stati attivati.
Un malintenzionato che si trovi nel raggio di copertura del segnale Bluetooth può installare un’app sul dispositivo iOS senza che l’utente autorizzi l’operazione.
Per raggiungere il suo scopo, Dowd ha fatto uso di un certificato enterprise che Apple mette a disposizione degli sviluppatori in maniera tale che le grandi aziende siano libere d’installare le loro app su una vasta schiera di dispositivi usati, per esempio, da dipendenti e collaboratori.
Il ricercatore ha poi spiegato che usando una falla directory traversal (si tratta di problematiche di sicurezza che espongono dati sensibili a causa di una svista nel controllo effettuato dalle procedure di login, ad esempio un’insufficiente verifica dei caratteri utilizzati per specificare il nome utente), è poi riuscito a scrivere e sovrascrivere file di sistema normalmente inaccessibili.
Ancora una volta, quindi, al centro del mirino vi è il meccanismo chiamato enterprise provisioning di Apple al quale avevamo a suo tempo dedicato un intero articolo: Apple iOS, app malevole rimpiazzano quelle legittime.
Soluzione? Dowd ha da poco fatto presente che l’aggiornamento ad iOS 9 è sicuramente buona cosa ma il bug è ancora contenuto nelle pieghe del sistema operativo. Il consiglio migliore resta quindi quello di disabilitare AirDrop fintanto che Apple non rilascerà una patch risolutiva.
Una breve informativa sulla falla scoperta in AirDrop è stata da poco pubblicata anche dal CERT Nazionale (ne parlammo nell’articolo Il piano nazionale per la sicurezza informatica diventa ufficiale).