Apple Keychain: scoperto uno zero-day exploit che compromette la sicurezza di iOS e OS X

Quello che solitamente verrebbe affrontato come un “problema minore” poiché limitato ad alcune situazioni specifiche e operabile da una cerchia ristretta di utenti è in realtà un grave problema che coinvolge tutti gli utenti Apple, sia iOS che OSX.

zewrodayzombie

Un nutrito gruppo di ricercatori per la sicurezza informatica della University of Indiana e del Georgia Institute of Technology ha infatti fornito tutta la documentazione necessaria ad identificare non uno ma bensì svariati zero-day exploit all’interno del protocollo Keychain di iOS ed OSX.

La scoperta, oltre che ad essere di monito per centinaia di migliaia di utenti che sicuramente vorranno rimuovere le informazioni personali memorizzate tramite suddetto protocollo, spalanca inoltre le porte ad eventuali malintenzionati che possono teoricamente sviluppare un malware ad-hoc per violare il portafoglio virtuale degli utenti Apple e prelevare le password in esso custodite.

Non soltanto infatti i ricercatori hanno fornito tutta l’idonea documentazione a supporto della loro scoperta, ma hanno anche dimostrato l’effettivo rischio di tale vulnerabilità riuscendo a far accettare e pubblicare in App Store una applicazione contenente il malware concepito appositamente per violare i protocolli di sicurezza di un qualsiasi dispositivo.

Il software è appunto in grado di accedere ai dati memorizzati in Keychaincome nomi utente, password e persino le credenziali di iCloud – semplicemente sfruttando ad esempio l’applicazione Google Chrome per iOS.

Paradossalmente tuttavia questa non è la parte peggiore della notizia: il team di ricerca ha infatti prontamente segnalato ad Apple l’accaduto, fornendo tutta la documentazione necessaria ed accludendo l’applicativo proof-of-concept nella speranza di veder risolta prontamente la vulnerabilità scoperta.

Tutto ciò accedeva sei mesi fa, termine minimo imposto da Apple prima che il gruppo di ricercatori potesse rendere la nota la scoperta ed effettuare il claim dello zero-day scoperto, dando così tempo all’azienda di Cupertino di risolvere il problema rilasciando le dovute patch.

Apple ha tuttavia ignorato tale scoperta, di fatto mettendo a rischio la sicurezza di tutti i suoi utenti: ad oggi infatti non risulta nessun provvedimento ufficiale e nessun commento circa il rilascio di una qualsivoglia patch indirizzata a correggere tale vulnerabilitá.

Questo comportamento irresponsabile ha spinto il gruppo di ricercatori a rendere nota la scoperta di quello che ora è noto come “Accesso di Risorse Cross-App Non Autorizzato su MAC OS ed iOS”; Luyi Xing, ricercatore capo presso la University of Indiana commenta così nell’intervista rilasciata a The Register:

Recentemente abbiamo scoperto una serie sorprendente di vulnerabilità nella sicurezza dei sistemi Apple Mac OS ed iOS che permettono ad una applicazione malevola di ottenere l’accesso non autorizzato ai dati sensibili di altre applicazioni, quali password e tokens per iCloud, l’applicazione Mail e tutte le password per il WEB memorizzate da Google Chrome. Le nostre applicazioni malevoli sono passate con successo attraverso il processo di controllo di Apple e sono state pubblicate su Mac App Store e iOS App Store.

Alla luce di quanto accaduto troviamo sconcertante il totale disinteresse mostrato da Apple nei confronti di uno zero-day exploit di tale portata, in grado di “hackerare l’intero protocollo Keychain” per mezzo di una applicazione ritenuta perfettamente legittima da parte dell’utente ignaro, e quasi stentiamo a credere che Apple sia stata in possesso di tali informazioni per ben sei mesi senza fare assolutamente nulla per correggere questa immensa falla nella sicurezza dei suoi protocolli.

Personalmente – e credo che saranno d’accordo moltissimi altri utenti – avrei preferito che distogliessero lo sguardo dal loro “orologio” per risolvere un problema decisamente più serio, anche se d’altro canto risolvere uno zero-day exploit non porta nelle tasche i milioni di dollari che invece fanno arrivare in cassa le vendite di un rettangolo placcato oro.


Fonti :


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.