Due ricercatori hanno reso pubblica una scoperta che riguarda i dispositivi iPhone ed iPad di Apple. Secondo quanto rilevato nelle scorse ore, i due device traccerebbero la locazione fisica degli utenti memorizzandola in un file non crittografato.
Pete Warden, fondatore del progetto Data Science Toolkit oltre che ex dipendente Apple, e Alasdair Allan, uno dei ricercatori in forze presso l’Università di Exeter (Regno Unito), hanno spiegato che il file è stato introdotto la scorsa estate, col lancio di iOS 4. Denominato consolidated.db
, il file contenente i dati sul posizionamento dell’utente si presenta in formato SQLite ed è conservato sugli iPhone e gli iPad dotati del supporto per la connettività 3G. Il duo Warden-Allan ha scoperto come il medesimo file venga salvato nei backup di iOS creati sui normale personal computer Windows o sui sistemi Mac utilizzando la funzionalità di sincronizzazione di iTunes.
Nel file in formato SQLite sono riconoscibili, in chiaro, una serie di coordinate GPS, una sequenza di caratteri che rappresenta date ed orari (timestamp) ed ulteriori informazioni (tra queste spiccano i nomi delle reti Wi-Fi rilevate nelle vicinanze del dispositivo).
Con il trascorrere del tempo, il file consolidated.db
potrebbe via a via popolarsi di decine di migliaia di record che rispecchiano fedelmente i movimenti dell’utente. Gli autori della scoperta si sono divertiti a visualizzare graficamente le coordinate presenti nel file memorizzato in uno dei loro dispositivi: il risultato è quello che si vede nell’immagine in alto a sinistra. Stando a quanto dichiarato dai due ricercatori, iOS memorizzerebbe circa 100 record giornalieri, come è possibile evincere visionando il video esplicativo pubblicato nelle scorse ore:
“Questi dati potrebbero essere difficoltosi da sottrarre in modalità remota“, ha osservato Charlie Miller, un noto ricercatore che si interessa in particolare di vulnerabilità legate ai Mac ed ai vari device della Mela. “L’operazione potrebbe non essere però impossibile“, ha aggiunto Miller che, tra l’altro, ha vinto per ben quattro volte la competizione Pwn2Own. “Il file è memorizato nella directory root. Le applicazioni, quindi, Safari compreso, non possono accedervi“. Per mettere le mani sul contenuto del file consolidated.db
, un aggressore remoto dovrebbe sfruttare una coppia di lacune di sicurezza: la prima serve per attaccare Safari (inducendo l’utente, ad esempio, a visitare un sito web “maligno”) mentre la seconda deve poter consentire l’acquisizione dei privilegi root. Ciò è possibile, ha spiegato Miller, ma non per la maggioranza dei criminali informatici.
Miller ha invece spiegato come il principale pericolo possa derivare dalla perdita dell’iPhone o dell’iPad: una persona con accesso “fisico” al dispositivo può facilmente attingere alle informazioni che tracciano i movimenti dell’utente.
Secondo Graham Cluley, uno degli esperti di Sophos, anche il backup del contenuto del dispositivo mobile di Apple, effettuato su PC o Mac, può rappresentare un rischio: “qualcuno potrebbe accedere alle informazioni mentre non si è di fronte al computer“.