Alcuni ricercatori dell’agenzia di sicurezza FireEye hanno scoperto un nuovo bug relativo al multitaskng di iOS che permetterebbe di effettuare la registrazione degli “eventi” innescati dall’utente, quali ad esempio la digitazione di caratteri sulla tastiera virtuali, il tocco dello schermo, l’attivazione di touch ID e dei tasti volume.
La falla esiste su tutti i dispositivi su cui possono girare iOS 6 e iOS 7 (tutte le versioni) e può essere sfruttata anche su dispositivi non jailbroken.
Ecco quanto scrivono i ricercatori:
Abbiamo creato un’app come prova di concetto che è in grado di monitorare i dispositivi con iOS 7 non jailbroken. […] Quest’applicazione può poi inviare tutti i dati ad un server remoto. I potenziali malintenzionati potrebbero utilizzare le informazioni raccolte per ricostruire ogni carattere digitato dalla vittima.
In un altro post, subito rimosso, i ricercatori di FireEye sostenevano di essere già riusciti a far passare un’applicazione simile attraverso le maglie dell’App Store, sempre come prova di concetto per verificare che la falla può essere sfruttata. A quanto è dato di capire l’applicazione in questione riesce nell’intento sfruttando il meccanismo del multitasking di iOS che permette alle app di continuare a funzionare in background. L’unico modo per evitare rischi, al momento, sarebbe quello di non far girare in background applicazioni di dubbia natura, anche se scaricate dallo Store.
Per quanto preoccupante, questo tipo di falla appare molto meno grave (e più difficilmente sfruttabile) del problema relativo alla verifica delle connessioni sicure SSL, risolto da Apple con l’aggiornamento 7.0.6 di iOS e ancora presente invece su OS X 10.9.1.
Apple non ha rilasciato commenti riguardo questo nuovo bug, mentre i ricercatori sostengono di aver già avvisato Cupertino.
[via]
Prova di concetto … Lol grandissima traduzione… Traduttore di google ? Lol
@Paul:
Direi proprio di no.
Prova di concetto è quanto di più simile si potrebbe trovare, letteralmente, all’inglese Proof of Concept.
Prototipo non va bene, perché si indica un fase ancora precedente.
Una proof of concept è una bozza, utile a dimostrare (prova) che il concetto (concept) di fondo è realizzabile e funziona. Non è una traduzione molto utilizzata ma personalmente è quella che preferisco.
E quello che hai appena letto è il ragionamento che mi porta a preferirla. Mi pare un po’ diverso dal traduttore di Google, che per altro non traduce la locuzione ma la lascia così com’è.