Dopo la scansione del codice binario di applicazioni sull’App Store sfruttando il servizio verify.ly, in 76 app per iOS è stata individuata una vulnerabilità che, almeno in teoria, consentirebbe l’intercettazione dei dati da parte di terze parti. L’intercettazione, spiega il sito 9to5Mac, è possibile sia che gli sviluppatori abbiano usato App Transport Security (API che consentono di dichiarare in un file il dominio con il quale devono comunicare) o no. Simili vulnerabilità sono state individuate pochi mesi addietro nelle app Experian e myFICO permettendo a potenziali attaccker di intercettare credenziali di login.
Il servizio verify.ly permette di scansionare app per iOS individuando vulnerabilità aiutando gli sviluppatori a capire come rinforzare e mettere al sicuro il proprio codice. Il meccanismo di scansione individua i pattern di alcune vulnerabilità e ha evidenziato la presenza di falle in più applicazioni. Stando alle analisi del sito in questione, app scaricate oltre 18.000.000 di volte presentano vulnerabilità.
76 app di diverso tipo sono state divise in tre categorie di rischio: basso, medio e alto. “L’App Transport Security (ATS) di iOS non è utile e non contribuire a bloccare il funzionamento di tali vulnerabilità” spiega Will Strafach (fondatore di Verify.ly). L’ATS, integrato in iOS 9, è stato pensato per migliorare la sicurezza e la privacy spingendo gli sviluppatori di app a usare il protocollo HTTPS. Apple ha inizialmente previsto la data dell’1 gennaio 2017 come limite previsto entro il quale tutte le app dovevano obbligatoriamente sfruttare questo sistema, ma poi ha rimandato la data a una scadenza indeterminata. Il problema riguarda codice di rete non correttamente configurato che induce l’App Transport Security a vedere le connessioni come valide connessioni TLS (protocollo che permette l’autenticazione), anche se non lo sono.
“Non è possibile risolvere il problema lato Apple” spiega Strafach, “perché annullare questa funzionalità per bloccare il problema, renderebbe alcune app iOS meno sicure in quanto non potrebbero sfruttare certificati legati alle connessioni e non potrebbero fare affidamento a certificati non fidati che potrebbero essere necessari in connessioni intranet in ambienti enterprise che si appoggiano a infrastrutture a chiave pubblica. È responsabilità dei soli sviluppatori garantire che le app non siano vulnerabili”.
Tra le app nelle qual sarebbero state individuate vulnerabilità a basso rischio, ci sono ooVoo, ViaVideo, Snap Upload for Snapchat, Uploader Free for Snapchat, and Cheetah Browser; non sorprende che una manciata di app sia legata a Snapchat, un problema che Strafach aveva già evidenziato a marzo dello scorso anno. Per quanto riguarda le app con rischio medio o elevato Strafach, Strafach non le ha per il momento rivelate spiegando che non le renderà note fino a quando specifiche comunicazioni non verranno inviate agli sviluppatori e alle aziende delle app.
Nel frattempo gli utenti possono fare poco per proteggersi contro il problema. Uno dei possibili meccanismi di protezione per mitigare il problema consiste nello sfruttare una VPN a detta di Strafach, qualcosa che Apple dovrebbe implementare nativamente in iOS. Se non si usano VPN, il ricercatore sconsiglia di usare il Wi-Fi in luoghi pubblici quando si ha a che fare con dati sensibili (es. l’uso di app per la gestione del conto corrente o la verifica del saldo) usando al posto della Wi-Fi la connessione dati cellulare. Si può disattivare al volo la WiFi dal Centro di Controllo iOS; sfruttando la connessione dati cellulare anziché la connessione WiFi la vulnerabilità evidenziata dal ricercatore non è sfruttabile o ad ogni modo è molto più complessa da attuare (richiederebbe un meccanismo hardware costoso, sarebbe molto più facile da individuare ed è, almeno negli USA, illegale).