iOS non è un sistema operativo sicuro? La pensa diversamente il governo australiano, che ha approvato iPhone e iPad per il salvataggio e la condivisione di informazioni governative secretate. A riportare la notizia è l’Herald Sun, che racconta come lo scorso venerdì sia arrivata la conferma che iOS 5 ha passato i test del governo. Mike Burgess, direttore del Defence Signals Directorate, ha approvato l’ultimo sistema operativo mobile di Apple per il salvataggio e la condivisione di documenti secretati con il livello “Protected”.
sicurezza iPhone
Apple: rilascio imminente di un fix per il PDF-Reader di iOS 4?
Stando a quanto riferito da CNET, Apple avrebbe già disponibile un fix software per la falla di sicurezza in iOS che ha consentito a Comex in collaborazione con altri membri del Dev Team di mettere a punto JailbreakMe.
Il fix verrà rilasciato in un prossimo aggiornamento software, anche se Apple non ha specificato nulla riguardo i tempi di rilascio.
JailbreakMe fa riflettere sulla sicurezza di iOS 4
Tramite un post durante la giornata di ieri vi abbiamo messi al corrente del primo procedimento utile per effettuare il jailbreak, tra gli altri, del nuovo iPhone 4. Oltre alla sua semplicità di utilizzo, JailbreakMe ha acceso un forte dibattito sul Web per ovvi motivi di sicurezza.
L’exploit, infatti, permette di sfruttare una falla del PDF Reader di iOS 4 (e successivi) al fine di eseguire codice arbitrario, mettendo in ginocchio tutto il sistema di sicurezza progettato da Apple. Il jailbreak avviene utilizzando un particolare file PDF che il server invia all’iPhone e sfruttando un bug nel lettore che processa il font di tale file.
iTunes e gli account bucati, che c’entra il “walled garden”?
La scorsa settimana si è fatto un gran parlare del caso di Thuat Nguyen, lo sviluppatore vietnamita che, grazie a 400 account iTunes compromessi di cui aveva ottenuto il controllo, è riuscito a spingere nella top 50 della categoria libri di App Store U.S.A. una 40ina di applicazioni da lui sviluppate che dei libri avevano solo la parvenza – erano semplici app maltradotte zeppe, per altro, di contenuti protetti da copyright.
La risposta di Apple è stata relativamente rapida: il developer è stato sbattuto fuori dall’App Store e tutte le sue applicazioni sono state rimosse. Era un caso isolato, un (bel) po’ esagerato da TheNextWeb, la testata online che per prima ha diffuso la notizia.
Un problema di lieve entità, quindi, che riguarda per altro degli utenti i cui dati d’accesso sono stati rubati con pratiche di phishing che nulla hanno a che fare con iTunes. Paolo Attivissimo, che conoscerete sicuramente per la sua fama di smontatore di bufale e leggende metropolitane, non la pensa così e ritiene che questo evento sia una palese dimostrazione delle debolezze del “walled garden”. Ma siamo sicuri che le due cose si possano mettere in relazione con tanta semplicità?
Cracking di App Store, un altro caso
All’inizio di questa settimana Apple ha confermato ufficialmente che 400 account iTunes sono stati “compromessi” da un developer, il vietnamita Thuat Nguyen, che li ha utilizzati per spingere in alto nella classifica della sezione libri di App Store le proprie applicazioni di nessun valore. In pratica Nguyen acquistava illecitamente i propri contenuti con account di altri utenti.
I server di iTunes, ha dichiarato Apple nel commento ufficiale diffuso sulla questione, non sono stati compromessi in alcun modo. E’ molto probabile, per non dire certo, che i dati di acceso degli account violati siano stati rubati con pratiche esterne al sistema (phishing et similia).
La situazione non appare grave, ma Ars Technica segnala un nuovo caso analogo. Un altro developer, WiiSHii Network, avrebbe utilizzato un metodo analogo per acquistare con account altrui alcune applicazioni della proprie applicazioni nella categoria Travel.
Pericolo frodi bancarie per le App: evviva la censura di App Store?
Nei mesi scorsi ci siamo spesso confrontati sul problema della “censura” in App Store: il metodo di approvazione delle applicazioni, macchinoso e talvolta inspiegabile, è uno dei punti inamovibili della politica di Apple. Sia da TAL che da tutto il “Mac Web” si è spesso alzata la richiesta di una revisione al meccanismo denominato “App approval process“: meno controlli garantirebbero, sulla carta, una maggiore libertà di creazione da parte dei vari developers.
Davanti ad una notizia odierna, però, sembra cadere il castello di accuse costruito nei confronti di Apple: c’è un serio pericolo di frodi bancarie per alcune applicazioni. Per ora il problema è limitato ai devices con sistema operativo Android e l’augurio è quello che siano stati proprio i “maniacali controlli” da parte di Apple ad evitare il dilagare di applicazioni simili anche in App Store.
iPhone e sicurezza: altri worm sempre più agguerriti
Mai mi sarei aspettato, nel giro di una manciata di giorni, di assistere all’invasione di cattivissimi “worm” affamati di iPhone. Ne abbiamo viste di tutti i tipi: dal worm che chiede gentilmente un riscatto per smettere di infestare il proprio iPhone a quello che mette come sfondo il faccione sorridente di Rick Astley (ringrazio ancora tutti coloro che nell’articolo “ikee, il “worm” che attacca gli iPhone con Jailbreak” mi hanno permesso di associare un volto ad una famosa canzone).
Il nuovo worm arrivato agli onori della cronaca è ancora più cattivo dei precedenti. Non chiede soldi e non imposta facce simpatiche ma legge i nostri dati personali permettendo così ad un hacker malintenzionato (sempre più brutto e cattivo dunque) di appropriarsi delle foto che abbiamo scattato in vacanza. A parlare, questa volta, è addirittura Intego.
ikee, il “worm” che attacca gli iPhone con Jailbreak
Se il vostro fido iPhone ha come sfondo l’immagine proposta qui sopra, le possibili motivazioni sono due. O siete fan sfegatati di Rick Astley (cantante inglese di cui ho scoperto oggi l’esistenza) oppure possedete un iPhone con applicato il Jailbreak, vi trovate in Australia e vi state chiedendo di chi diavolo sia la faccia sorridente che è magicamente apparsa come sfondo nel vostro iPhone.
Scherzi a parte, il Mac Web è impegnato, sin dalle prime ore di oggi, nelle discussioni riguardanti “ikee“, ovvero il primo “worm per iPhone” che è in grado di insediarsi solo nei dispositivi Jailbroken (immaginiamo i sorrisini del tipo “io te l’avevo detto” stampati sul volto dei vertici di Cupertino).
Il primo “worm per iPhone Jailbroken” è un problema reale di cui iniziare a preoccuparsi oppure siamo nell’allarmismo insensato?
iPhone con Jailbreak in ostaggio. Riscatto 5 euro
Per Apple, che da sempre sostiene che gli iPhone con Jailbreak applicato siano poco sicuri quanto illegali, la notizia di un hacker che ha terrorizzato qualche “utente illegale” del melafonino avrà sicuramente portato a Cupertino qualche sorrisino della serie “te l’avevo detto“.
La notizia di un hacker che “prende in ostaggio” gli iPhone con Jailbreak applicato, sotto minaccia di leggere tutti i nostri SMS per poi chiedere un “simbolico riscatto” di 5 euro, sinceramente, ha fatto sorridere anche noi. Mi immagino questo poverino che passa giornate intere a leggere messaggi d’amore altrui o, peggio ancora, liste della spesa spedite dalle fidanzate.
Scherzi a parte: sembra che questo misterioso personaggio abbia voluto lanciare un messaggio molto serio a tutti i possessori di iPhone con Jailbreak. “Cambiate la password di root e disabilitate la connessione SSH, quando non necessaria“.
Disponibile firmware 3.0.1 per iPhone
Con una mossa a sorpresa Apple ha appena rilasciato l’aggiornamento del firmware di iPhone 3.0.1,
Niente Jailbreak ad iPhone: parola di Charlie Miller
Il buon Charlie Miller (molto probabilmente un lontanissimo parente del nostro Camillo), avendo vinto svariate volte i più disparati prodotti di Apple dopo averne dimostrato la poca sicurezza, ora si diverte a cercare falle nel blindatissimo sistema operativo di iPhone. Il geniale hacker lascia pochi indizi circa le sue scoperte: l’ultimissima falla riguarderebbe una presunta vulnerabilità da parte di iPhone OS attraverso un normalissimo sms. Infatti, inserendo del codice malevolo in un comunissimo messaggio di testo, un malintenzionato potrebbe sapere esattamente il luogo in cui si trova il melafonino attraverso le coordinate del GPS, ascoltare le conversazioni ambientali con il microfono e addirittura far entrare iPhone in una botnet.
Dopo aver scoperto questa nuova falla, Miller avvisa tutti i possessori di iPhone: “If you care about security, don’t use a jailbroken iPhone” (se avete a cuore la sicurezza, non utilizzate un iPhone con Jailbreak applicato).
Charlie Miller e la sicurezza di iPhone OS
Charlie Miller, l’uomo che ha bucato Mac OS X in meno di dieci secondi (grazie a una vulnerabilità in Safari) e che ha affermato la maggiore sicurezza dei sistemi operativi Microsoft rispetto a quelli di Cupertino, ora torna a far parlare di sè con una presunta vulnerabilità in iPhone OS.
Il bug potrebbe seriamente minacciare la sicurezza dello smartphone di Apple, permettendo a un malintenzionato di eseguire shell code (una porzione di codice malevolo che permette a un hacker di prendere il controllo del device) e, quindi, di fare qualunque cosa con il nostro iPhone.