Apple ha fatto sapere che sono state implementati aggiornamenti lato-server e che sta lavorando su fix aggiuntivi per risolvere la vulnerabilità nota come XARA recentemente resa nota da alcuni ricercatori esperti in sicurezza e che potrebbe potenzialmente permettere ad app malevole di intercettare dati nelle app che sfruttano il meccanismo di sandboxing, comprese informazioni sensibili quali password e chiavi di autenticazione.
“All’inizio di questa settimana” ha dichiarato un portavoce di Apple a iMore, “abbiamo implementato un aggiornamento di sicurezza lato-server che mette al sicuro la gestione dei dati delle app e blocca le app del Mac App Store con problemi di configurazione nel sandbox”. E ancora: “Sono in arrivo fix aggiuntivi e stiamo lavorando con i ricercatori esperti in sicurezza indagando le affermazioni nei loro documenti”.
La vulnerabilità è stata individuata lo scorso anno da un team di ricercatori dell’Indiana University, del Georgia Institute of Technology e dell’Università di Pechino, informando Apple a ottobre dello scorso anno.
Come spiegato nei documenti del gruppo di ricercatori, diffusi questa settimana, app malevole potrebbero sfruttare una vulnerabilità nel modo in cui OS X e iOS spostano e memorizzano i dati delle app. Nel caso di OS X, un’app malevola scaricata dal Mac App Store potrebbe essere in grado di accedere all’archivio del Portachiavi (l’applicazione che archivia le password e le informazioni di account riducendo il numero di password che l’utente deve ricordare e gestire) e sfruttarlo per accedere ai dati. Altri tipi di attacchi potenziali prevedono lo sfruttamento lato browser di comunicazioni sfruttando WebSocket e URL creati ad hoc.
Benché la minaccia sia potenzialmente reale, iMore spiega che la pericolosità è stata enfatizzata e sopravvalutata da molti media. Il fix definitivo richiederà ad ogni modo non solo modifiche da parte di Apple ma anche differenti meccanismi di gestione dati da parte degli sviluppatori, sfruttando protocolli più rigorosi.