Nel presentare Verify.ly, uno strumento che a partire dal codice binario di qualunque app iOS consente di analizzarne il comportamento e mettere a nudo eventuali problematiche di sicurezza, gli autori del servizio hanno dichiarato di aver scoperto centinaia di applicazioni vulnerabili, attualmente installabili dallo store di Apple.
Le vulnerabilità hanno a che fare con la scorretta implementazione del protocollo TLS che dovrebbe proteggere da attacchi man-in-the-middle e quindi dall’intercettazione dei dati personali da parte di malintenzionati ma che in realtà ma che, per come è stato utilizzato, offre il fianco agli attacchi di aggressori e criminali informatici.
Will Strafach ha spiegato di aver personalmente verificato il problema su 76 applicazioni Apple iOS largamente utilizzate.
Allestendo un proxy malevolo, gli autori di verify.ly sono stati in grado di indurre le app iOS a utilizzare un cerificato digitale fasullo e, quindi, di registrare tutti i dati scambiati dalle stesse applicazioni (informazioni sensibili, password, indirizzi email, numeri di carte di credito e così via).
Quali sono i rischi, in concreto
Utilizzando un’app iOS che implementa il protocollo TLS in maniera non sicura il rischio è quello di vedere i propri dati intercettati da parte di terzi.
Se è vero che l’aggressione può essere, evidentemente, posta in essere dal provider Internet o dal fornitore della connettività WiFi, ciò è altamente improbabile.
Molto più probabile, invece, che un malintenzionato possa mettersi in ascolto durante l’utilizzo di una rete WiFi alla quale anche lui stesso è collegato oppure allestire un hotspot wireless malevolo per impossessarsi delle informazioni inviate e ricevute dai dispositivi iOS che vi si connettono.
Un hotspot WiFi malevolo, infatti, può diventare una trappola per i dispositivi mobili configurati per connettersi automaticamente.
Dal punto di vista degli utenti, quindi, Strafach consiglia di disattivare il modulo WiFi quando ci si trova in mobilità e di limitarsi a usare la connessione dati dell’operatore di telefonia mobile. Massima attenzione dovrebbe essere riposta sulle reti WiFi utilizzate per scambiare dati sensibili e, ancora una volta, aggiungiamo noi, il miglior consiglio consiste nell’attivazione di una VPN (meglio se quella attivata in proprio a casa o in ufficio) che protegga tutti dati inviati e ricevuti sul dispositivo mobile.