Un team di sei ricercatori provenienti dall’Università dell’Indiana, Georgia Tech e dall’Università di Peking hanno pubblicato un report con elencate una serie di vulnerabilità che abilitano alcune app, presenti in AppStore, ad accedere ad informazioni sensibili presenti in altre app, incluse le password di iCloud e i token di autorizzazione che servono a salvare le password di Google Chrome ed altri Web Browser.
La tredicesima pagina della ricerca tratta di “Unauthorized Cross-App Resource Acces on Mac OS X and iOS” ovvero la ricerca di app che riescono ad accedere a fonti di sistema in iOS e Mac OS X. Viene spiegato il modo in cui vengono, tramite un exploit, rubate informazioni confidenziali e password, inclusi i dati che si trovano all’interno di app di terze parti quali: 1Password di AgileBits.
Abbiamo completamente craccato il portachiavi – usato per archiviare password ed altre credenziali di altre app Apple – e la sandbox su OS X, e abbiamo anche identificato alcuni punti deboli nei meccanismi di comunicazione tra app su OS X ed iOS che possono essere usati per rubare dati confidenziali da Evernote, Facebook ed altre app di alto rango.
Tra i differenti attacchi di IPC interception ed hijacking sono afflitte le app ed i servizi: iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, 1Password, Evernote, Pushbullet, Dropbox, Instagram, Whatsapp, Pinterest, Dashlane, AnyDo, Pocket e molti altri.
Il ricercatore Luyi Xing ha detto a The Register che i problemi di sicurezza sono stati resi noti ad Apple in Ottobre del 2014 e per tutta risposta Apple ha chiesto di non pubblicare le informazioni prima di 6 mesi, ma non avendo ricevuto risposta dalla compagnia sta finalmente rendendo pubbliche tutte le vulnerabilità scoperte.
Queste falle affliggono migliaia di applicazioni in OS X e centinaia di applicazioni su iOS e proprio queste pecche possono essere utilizzate come armi dagli hacker.
Immagini tratte da MacRumors
