Una grave falla presente in iOS e OS X permetterebbe ad un malintenzionato di attaccare il Portachiavi iCloud ed accedere a tutte le credenziali utilizzate dall’utente nei siti web e nelle applicazioni di terze parti.
A scoprirla, alcuni studenti della Indiana University insieme ad altri alunni della Peking University e dello Georgia Institute of Technology, che hanno avvisato tempestivamente Apple nel mese di ottobre subito dopo aver testato il reale funzionamento del malware. La società chiese di non rivelare il problema per i successivi 6 mesi, con l’ulteriore richiesta di inviare tutta la documentazione che spiegava il funzionamento del malware entro il mese di febbraio. Nonostante i ricercatori abbiano adempito le richieste inviando i documenti nei termini segnalati e mantenendo il segreto fino ad oggi, Apple non sembra aver risolto il bug, in quanto è ancora presente nelle attuali versioni dei propri sistemi operativi desktop e mobile.
In base a quanto si legge su TheRegister, i ricercatori sono riusciti ad inserire il malware all’interno di alcune applicazioni per App Store e Mac App Store inviate poi per l’approvazione ad Apple che, a quanto pare, non si sarebbe accorta di nulla, pubblicandole sui negozi virtuali. Questo software sarebbe praticamente in grado di saccheggiare il portachiavi di iCloud rubando le password di tutti i servizi, comprese quelle di iCloud stesso. Il software malevolo sarebbe inoltre in grado di accedere alla sandbox di OS X e, grazie alle debolezze individuate nei meccanismi di comunicazione inter-app tra iOS ed OS X può facilmente rubare i dati in Evernote, Facebook e tutte le altre applicazioni installate sui dispositivi.
«Le conseguenze sono disastrose» ha spiegato il team di ricercatori spiegando, in alcuni casi attraverso dei video (in calce all’articolo), quanto sia facile rubare le foto da WeChat, accedere ai dati memorizzati in Evernote e razziare le credenziali bancarie tramite Google Chrome dal più recente OS X 10.10.3. Il problema lo deve risolvere Apple in quanto gli sviluppatori di terze parti non possono fare quasi nulla per raggirare il bug. Il team di Chromium, ad esempio, ha temporaneamente rimosso l’integrazione con Keychain di Apple in quanto a livello di app non si poteva fare altro mentre AgileBits, gli sviluppatori di 1Password, hanno spiegato che dopo mesi di lavoro non sono riusciti a trovare una scappatoia a questo genere di attacco software.
Al momento la cosa più sicura da fare è evitare di installare applicazioni (anche da App Store e Mac App Store) di cui non si conosce lo sviluppatore.