Grave vulnerabilità di crittografia in iOS 7 di Apple; Apple rilascia una correzione per risolverla

Una grave vulnerabilità segnalata mercoledì scorso nel sistema operativo mobile iOS 7 di Apple sembra essere stata contenuta per ora. La vulnerabilità, quando scoperta, era stata definita il più grande errore di sicurezza di Apple perché avrebbe permesso a potenziali attaccanti/hacker di intercettare email e altre comunicazioni che dovrebbero essere effettivamente criptate. L’azienda ha dichiarato che questa vulnerabilità esiste anche nel suo sistema operativo per computer premium Mac OS X.

In parole semplici, se stavi usando un iPhone 5s e ti trovavi in un ristorante che offriva una rete wireless gratuita e non sicura, un attaccante/hacker sarebbe stato in grado di vedere lo scambio tra te e la tua email o rete sociale prima che venisse criptato. In poche parole, gli hacker avrebbero potuto vedere tutti gli scambi che avevi su Gmail, Facebook, Twitter e altri siti web sicuri. La vulnerabilità esiste fondamentalmente a causa di una riga extra di codice “goto” che bypassa il processo di autenticazione del sistema iOS, consentendo a una terza parte (hacker/attaccante) di intercettare le tue email personali e visualizzare il tuo traffico Internet. Questo significa anche che la vulnerabilità avrebbe permesso al potenziale hacker di prendere il pieno controllo del tuo sistema.

“È brutto come puoi immaginare, tutto quello che posso dire,” ha detto il professore di crittografia della Johns Hopkins University Matthew Green.

Anche se Apple ha accettato la vulnerabilità, non ha detto né commentato quando o come ha appreso della vulnerabilità. Non è noto nemmeno se qualche hacker/attaccante abbia approfittato di questo buco zero durante il periodo in cui non è stato corretto e lo abbia sfruttato per guadagni personali.

• In generale, ha emesso una dichiarazione piuttosto diretta sul suo sito web venerdì dicendo “non è riuscita a convalidare l’autenticità della connessione”. Ma non appena ha pubblicato questo commento, i suoi ingegneri hanno lavorato oltre l’orario per correggere questo exploit. E entro venerdì sera, Apple ha rilasciato patch software e un aggiornamento per la versione attuale di iOS per iPhone 4 e successivi, iPod touch di quinta generazione e iPad 2 e successivi.*
• I lettori possono gentilmente notare che questo bug colpisce il browser Apple Safari e se non hai aggiornato il tuo iOS 7 o Mac OS X con la patch di sicurezza pertinente, sarebbe meglio non utilizzare il browser Safari per il momento. La patch per gli utenti di iOS 7 è disponibile qui. Tuttavia, fino alla scrittura di questo articolo, Apple non ha rilasciato alcuna correzione o patch per gli utenti di Apple OS X, pertanto devono essere particolarmente cauti mentre navigano in rete.*
• Al alcuni utenti hanno commentato nei forum che Apple potrebbe aver lasciato consapevolmente questo buco nel codice goto come una backdoor per la NSA e il governo degli Stati Uniti per spiare i bersagli, mentre altri dicono che si tratta solo di un codice malformato a causa di una cattiva programmazione. Qualunque sia la verità e quando sarà nota, fino ad allora si consiglia di utilizzare Google Chrome o Mozilla Firefox per navigare/utilizzare Internet.