Posts Tagged ‘ vulnerabilità ’

Le vulnerabilità di iOS superano quelle scovate su Android e Windows Phone

mar 26th, 2013 | By

Secondo un’indagine svolta da Surcefire , iOS sarebbe il sistema operativo più vulnerabile se paragonato ai suoi principali concorrenti. Le vulnerabilità scovate in iOS sarebbero infatti circa l’81% del totale e secondo la società di ricerca questo è dovuto principalmente alla grande popolarità del sistema operativo. Si è sempre pensato che iOS, essendo un sistema operativo prevalentemente chiuso, fosse anche uno tra i più sicuri che ci siano. Un’indagine svolta da Sourcefire ha però evidenziato che il numero delle vulnerabilità trovate sul sistema operativo di Apple sono di gran lunga maggiori se paragonate a quelle trovate su Android, Windows Phone o BlackBerry. Nel dettaglio, le vulnerabilità trovate su iOS (ben 210) equivalgono all’81% del totale , mentre Blackberry, Android e Windows Phone insieme si prendono un misero 19%. Ovviamente tutte le vulnerabilità trovate sono state prontamente risolte da aggiornamenti del sistema operativo. Sourcefire ha però chiarito che il numero elevato delle vulnerabilità scovate non rende iOS un sistema operativo insicuro . Il software degli iDevice è quello con più limitazioni e quindi gli hacker sono più motivati a trovare falle nella sicurezza per poter effettuare numerose azioni come il Jailbreak . Android è invece un sistema operativo aperto e quindi poco interessante dal punto di vista degli hacker. Bisogna però dire che i principali pericoli per Android derivano invece dalle applicazioni presenti sul Google Play Store , le quali potrebbero nascondere degli hack che mettono in pericolo i dati degli utenti. Via | BGR



Scoperta una nuova vulnerabilità per gli Apple ID: chiunque può entrare nel vostro account conoscendo mail e data di nascita

mar 22nd, 2013 | By

Gli autori di The Verge hanno scoperto la presenza di una seria vulnerabilità all’interno del sistema di gestione degli Apple ID. Chiunque può entrare nel vostro account Apple conoscendo semplicemente la mail di accesso e la vostra data di nascita. Nonostante l’impegno da parte di Apple per migliorare la sicurezza degli Apple ID (è proprio di pochi giorni fa la notizia dell’introduzione della  verifica “a due step” dell’Apple ID ) gli account per accedere ad App Store, iTunes Store e iBookstore, oltre che ad iMessage e FaceTime, continuano a non essere del tutto sicuri. È stata infatti scoperta una nuova vulnerabilità che permette a chiunque di accedere al vostro ID e di ripristinare le credenziali di accesso all’account conoscendo semplicemente la mail di accesso e la data di nascita del proprietario originale dell’Apple ID. Il trucco sta nell’utilizzo di un URL modificato – sempre interno ad Apple – che permetterebbe di saltare la pagina di verifica dell’account in cui vengono poste all’utente le classiche domande di sicurezza, consentendo così a chiunque di entrare in possesso di tutti i vostri dati collegati all’Apple ID, incluse le informazioni sulla residenza e sui metodi di pagamento, nonché l’accesso a questi ultimi per completare acquisti. Al momento la pagina  iForgot di Apple, la stessa da cui è possibile gestire l’Apple ID, risulta inaccessibile per manutenzione. Apple potrebbe essere già al lavoro per correggere la vulnerabilità in questione e ripristinare, nuovamente, la sicurezza degli Apple ID. Nel frattempo, per evitare problemi, suggeriamo a tutti i nostri utenti di non comunicare ad altri quale sia la mail utilizzata per accedere ai servizi di Apple e di nascondere – da Facebook o altri social network ad esempio – la propria data di nascita che potrebbe essere accessibile a sconosciuti malintenzionati. storie correlate Arriva la batteria che ricarica l’iPhone in soli 15 minuti Migliora le foto notturne con NightCap ShakeChat, l’app per trovare “casualmente” la persona giusta con cui parlare Heroes of Destiny, un nuovo action-RPG targato Glu Games In seguito ad una class action Apple introduce la dicitura “offre acquisti in-app” su iTunes



L’ultima versione di iOS risolve una falla di sicurezza presente nell’App Store

mar 9th, 2013 | By

Con l’ultimo aggiornamento di iOS Apple avrebbe corretto una falla di sicurezza presente nell’App Store segnalata sei mesi fa. La vulnerabilità in questione fu segnalata all’azienda californiana da Elie Bursztein, ricercatore specializzato nel settore della sicurezza presso Google, sei mesi fa, ma pare che il problema sia stato risolto da Apple solamente con l’ultimo aggiornamento per iOS, almeno secondo quanto dichiarato in un articolo pubblicato sul blog del ricercatore. Questa falla poteva essere utilizzata su qualsiasi rete Wi-Fi pubblica e consentiva di eseguire una serie di attacchi, elencati da Busztein sul proprio blog: Rubare password: ingannare l’utente spingendolo a rivelare la propria password usando il meccanismo di notifica di aggiornamenti per inserire un avviso falso al lancio dell’App Store; Scambio applicazioni: obbligare l’utente ad installare/acquistare un’app scelta dal malintenzionato invece di quella che l’utente intendeva acquistare/installare. E’ possibile scambiare un’app gratuita con una a pagamento; Aggiornamento falso di app: ingannare l’utente ad installare/acquistare un’app scelta dal malintenzionato inserendo aggiornamenti falsi di applicazioni o manipolando aggiornamenti esistenti; Prevenire l’installazione di app: prevenire che l’utente installi/aggiorni un’app nascondendola dall’App store o ingannando l’app a credere di essere già installata; Problemi di privacy: il meccanismo di aggiornamento dell’applicazione elenca in chiaro la lista di app installate sul dispositivo. Secondo l’esperto tutti questi attacchi sono resi possibili dalla mancanza della criptazione HTTPS all’interno dell’App Store, ma con l’ultimo aggiornamento Apple ha implementato proprio questo protocollo, evitando di fatto che qualcuno potesse sfruttare la falla per azioni illegali all’oscuro dell’utente. Fonte:  AppAdvice storie correlate Importante update per AroundMe Con Leaveon puoi lasciare dei messaggi virtuali alla casa di Giulietta in quel di Verona Deframmentazione post-installazione di un aggiornamento su iPhone? – iPhoneItalia Q&A #163 Toys inc. ci trasporta all’interno di una fabbrica di giocattoli Crea gif animate su iPhone con l’app gratuita GifMill



Oltre la metà dei dispositivi Android richiede una patch di sicurezza ed è vulnerabile ad attacchi

set 15th, 2012 | By

Chiunque sia un appassionato di tecnologia, a prescindere dal preferire iOS ad Android, sa bene che ogni piattaforma ha i suoi vantaggi e i suoi difetti. Detto questo, nonostante la presumibile elevata sicurezza di iOS, più volte sconfessata, sembrerebbero essere gli utenti Android ad essere più a rischio rispetto ad attacchi esterni, almeno secondo quanto confermato da uno studio di DuoSecurity. Ogni piattaforma ha dunque dei vantaggi e svantaggi, ma secondo un recente studio sembra che siano proprio gli utenti Android ad essere più vulnerabili ad attacchi. DuoSecurity , una compagnia specializzata nella protezione delle organizzazioni, ha infatti pubblicato gli esiti preliminari del proprio progetto di ricerca X-Ray presentando quanto riscontrato presso la United Summit Conference. X-Ray è un’applicazione mobile che, installata su un qualsiasi dispositivo Android, esegue sullo sfondo una serie di test volti a trovare informazioni sulla vulnerabilità generale del dispositivo; la sua principale caratteristica è la capacità di riuscire a rilevare vulnerabilità note senza esser state ancora patchate, consentendo quindi un potenziale attacco del dispositivo. Il progetto in questione ha quindi previsto il rilascio proprio di X-Ray così che gli utenti Android potessero installarla ed avviarla sui propri dispositivi. Fino ad ora pare che la compagnia abbia raccolto e analizzato i risultati ottenuti da oltre 20.000 smartphone e tablet Android. Tra questi, oltre il 50% sono conterrebbe serie vulnerabilità non patchate e quindi soggette ad attacchi. Il problema principale risiede nella lentezza delle aziende nel rilascio di aggiornamenti per Android, compromettendo di fatto la sicurezza di migliaia di utenti i cui dispositivi potrebbero rimanere per settimane pienamente vulnerabili ad attacchi esterni. Quanto riportato da DuoSecurity è sicuramente sconcertante se si considera come tali dispositivi possano rimanere vulnerabili ad attacchi anche senza che gli utenti ne siano a conoscenza. Il problema principale risiede proprio nel sistema di aggiornamento dei dispositivi messo in atto dalle aziende, per cui è importante che la situazione cambi affinché i dispositivi possano diventare più sicuri. [ via ] storie correlate Germania: Apple ottiene un’ingiunzione su smartphone e tablet Motorola Stati Uniti: secondo la ITC Apple non viola i brevetti di Samsung



Novità da Pod2G: week-end produttivo per il jailbreak untethered di iOS 5.1 (e iOS 6)

apr 30th, 2012 | By

Week-end produttivo. Con quest parole Pod2G ci aggiorna nuovamente sullo stato dei lavori per il jailbreak untethered di iOS 5.1 e non solo. News: a productive week-end. Found 2 big vulnerabilities. 1 kernel land and 1 root land. — pod2g (@pod2g) Aprile 30, 2012 Qualche giorno fa, infatti, Pod2G aveva lanciato un sondaggio in cui chiedeva agli utenti se preferissero che il nuovo tool per il jailbreak fosse rilasciato in modo specifico per iOS 5.1 oppure se avessero preferito attendere il rilascio di iOS 6 e che gli hacker concentrassero i propri sforzi su questa versione del sistema operativo mobile di Apple. Potreste chiedervi e chiederci: come possono gli hacker lavorare sul jailbreak di iOS 6 se questo sistema operativo non è ancora stato rilasciato e presentato da Apple? La risposta è molto semplice: Pod2G e gli altri hacker del panorama iOS possono scovare determinate vulnerabilità che saranno sfruttabili anche sul nuovo iOS 6, sempre che non vengano utilizzate per altri jailbreak. Ed è proprio qui che si pone la questione sollevata da Pod2G : attendere iOS 6 ed utilizzare gli exploit individuati per un jailbreak sicuramente più importante, oppure rilasciare il jailbreak per iOS 5.1 con il rischio che per il jailbreak di iOS 6 possano essere necessari altri mesi di attesa? Dopo una precisazione necessaria, arriviamo alla notizia di oggi. Pod2G ha comunicato su Twitter di aver individuato due importanti vulnerabilità attualmente presenti in iOS: una a livello di kernel e l’altra a livello della root. In un secondo tweet l’hacker ha specificato di non voler dare ulteriori dettagli a riguardo per evitare che Apple possa già correre al riparo per correggere eventualmente le falle segnalate dall’hacker francese. Cosa farà Pod2G? Rilascerà un nuovo tool per il jailbreak untethered di iOS 5.1 o aspetterà il rilascio di iOS 6? Voi preferireste un jailbreak immediato ma con pochi mesi di vita, oppure un jailbreak sicuramente più importante per il quale dovreste però attendere ancora qualche mese? Fatecelo sapere nei commenti. storie correlate iTunes Match sbarca finalmente in Italia e Apple lo annuncia attraverso l’aggiornamento dei Termini e delle Condizioni! Angry Birds Space vola in alto con 50 milioni di download in 35 giorni iPhone Plus, il concept di un nuovo iPhone La prima beta di N.O.V.A. 3 provata per voi! – Anteprima iPhoneItalia Lima, l’alternativa web-based a Cydia provato da iPhoneItalia – Video



Trovata importante vulnerabilità in Safari Mobile su iOS 5.1

mar 22nd, 2012 | By

David Vieira-Kurz di MajorSecurity ha scoperto un problema di sicurezza in Safari Mobile presente in  iOS 5.1 . Tale vulnerabilità potrebbe aiutare eventuali malintenzionati a tentativi di spoofing verso ignari utenti.   La debolezza è causata da un errore nella gestione degli URL quando si utilizza in javascript il metodo window.open () . Questo può essere sfruttato per ingannare gli utenti che potrebbero potenzialmente fornire informazioni sensibili a un sito Web dannoso, del tutto identico al sito originale che si sta cercando di imitare, dato che le informazioni visualizzate nella barra degli indirizzi possono essere costruite in un certo modo. La vulnerabilità è stata testata e risulta presente su iPhone4, iPhone4S, iPad2 e iPad3 con iOS 5.1 . Ad Apple è stata notificata il 3 Marzo , e dovrebbe rilasciare un aggiornamento per iOS che risolva il problema a breve. La procedura, per testare questo bug di sicurezza, è la seguente: 1) Visitate il sito http://majorsecurity.net/html5/ios51-demo.html con Safari su iOS 5.1 2) Fare clic sul pulsante “demo” 3) Safari si aprirà una nuova finestra con “ http://www.apple.com ” nella barra degli indirizzi, ma in realtà “http://www.apple.com” è visualizzato all’interno di un iframe all’interno del sito ospite http://www.majorsecurity.net 4) Notate come la barra degli indirizzi di Safari mostra effettivamente “http://www.apple.com” il che fa credere all’utente di essere davvero sul sito di Apple mentre in realtà si trova ancora nel sito del malintenzionato. Immaginate adesso la stessa procedura, con al posto del sito di Apple la fedele riproduzione del sito della vostra banca, delle poste, o qualunque altro sito che possa contenere nostri dati sensibili. Speriamo che Apple fixi il problema nel più breve tempo possibile. Nel frattempo non ci resta che fare attenzione . Via | iClarified



iOS è vulnerabile ad alcuni malware che ne permettono il controllo remoto. Charlie Miller conferma e viene espulso da App Store

nov 8th, 2011 | By
Thumbnail

Scoperta in queste ore una importante vulnerabilità del sistema operativo Apple , che permette ad alcune applicazioni contenenti malware, di lanciare un codice per il controllo remoto di alcune funzioni del dispositivo. A confermare questa scoperta, fatta da un dipendente Accuvant , è direttamente Charlie Miller , che piega come anche un semplice gioco contenente quella determinata tipologia di codice malevolo, potrebbe permettere ad un malintenzionato di lanciare suoni o visionare foto, contatti e messaggi del nostro dispositivo. La conferma dal punto di vista tecnico è arrivata grazie ad un’applicazione rilasciata in App Store, contenente il malware, che dopo essere riuscita ad entrare in possesso dei dati sensibili di alcuni iDevice, è stata prontamente rimossa. Questo pubblico Test effettuato da Miller gli ha causato l’espulsione dal programma sviluppatori Apple. Questa vulnerabilità non è presente solo su iOS 5 in quanto sarebbe da imputare ad alcune modifiche della gestione JavaScrip t avvenuti dopo l’aggiornamento 4.3 di iOS . Ora Apple dovrebbe rilasciare un aggiornamento che vada a chiudere questa importante falla di sicurezza. Via | Tipb



Rilasciato tramite Cydia il pacchetto “isslfix” che corregge la vulnerabilità SSL in iOS 4.3.3 e 4.3.4

ago 12th, 2011 | By
Thumbnail

E’ da poco stato rilasciato isslfix , un pacchetto, disponibile in Cydia che permette di correggere le falle di sicurezza nel browser Safari nei Firmware 4.3.3 e 4.3.4. Apple, dopo aver chiuso la falla che ha permesso di creare JailbreakMe 3.0 è corsa ai ripari migliorando la sicurezza di Safari anche attraverso alcuni fix che non sono direttamente legati all falla utilizzata da Comex ma che migliorano la sicurezza del nostro dispositivo, chiudendo la possibilità di bucare il proprio firmware. Chi ha deciso di non perdere la possibilità di un jailbreak unthetered, e quindi è rimasto al firmware 4.3.3 non ha avuto modo di proteggere il proprio device grazie ai fix introdotti da Apple, oggi però, come sempre grazie agli sviluppatori Cydia e al pacchetto isslfix , anche i possessori di iOS 4.3.3 potranno beneficiare di questi fix. Il pacchetto infatti installa nel vostro dispositivo solo gli aggiornamenti necessari a chiudere le falle di mobile Safari pericolose, lasciando intatto il resto del sistema operativo jailbroken. Un’ottima notizia insomma per i possessori di iDevice potenzialmente a rischio. Per scoprire se il proprio dispositivo è esposto a questa vulnerabilità oppure no basta visitare il sito https://issl.recurity.com/ direttamente dal vostro dispositivo e controllare il risultato. Isslfix è disponibile gratuitamente in Cydia nella repository di BigBoss e richiederà un riavvio dell’iPhone una volta completata l’installazione. Ricordiamo, inoltre, che l’installazione di isslfix non è necessaria sui firmware 4.3.5 e su iOS 5 in quanto già protetti da Apple.



Rilasciato in Cydia il pacchetto “isslfix” per correggere la vulnerabilità SSL in iOS 4.3.3/4.3.4

ago 11th, 2011 | By
Thumbnail

Dopo il rilascio di JailbreakMe 3.0, Apple ha rilasciato due nuovi aggiornamenti di iOS per correggere gli exploit e le vulnerabilità di Safari utilizzate per eseguire il jailbreak del firmware 4.3.3. Con iOS 4.3.4 ed iOS 4.3.5 sono stati introdotti però alcuni fix “legittimi” (ossia non legati direttamente a JailbreakMe) che migliorano la sicurezza di Mobile Safari. Ovviamente gli utenti che sono fermi ad iOS 4.3.3 e intendono preservare il jailbreak non potranno beneficiare di questi fix. Questa possibilità è ora concessa da @onaj che ha rilasciato in Cydia un pacchetto denominato “isslfix” che va proprio a sanare le altre falle di Safari individuate e corrette da Apple con gli ultimi aggiornamenti di iOS. Utilizzando termini molto semplici, isslfix corregge una vulnerabilità SSL nota come CVE-2011-0228 senza dover necessariamente aggiornare all’ultima versione del firmware (iOS 5). Tutto ciò che dovrete fare è semplicemente scaricare il pacchetto isslfix da Cydia e otterrete la medesima protezione durante la navigazione presente sugli ultimi firmware di iOS. Ma come fare a scoprire se il proprio dispositivo è esposto a questa vulnerabilità oppure no? Molto semplice. Basta infatti visitare il sito https://issl.recurity.com/ direttamente dall’iDevice e dare uno sguardo al risultato. Se dovesse comparire un’immagine come quella mostrata qui sotto, vorrà dire che il vostro dispositivo è soggetto a questa falla di sicurezza e necessità di un aggiornamento del firmware o, nel caso in cui vogliate preservare il jailbreak untethered, dell’installazione di isslfix. Se invece visualizzerete un warning e la scritta “Continue” sarete al sicuro. Il pacchetto può essere scaricato gratuitamente dalla repository di BigBoss e richiederà un riavvio dell’iPhone una volta completata l’installazione. L’installazione di isslfix non è richiesta su iOS 4.3.5 e sulle versioni di iOS 5 beta poichè Apple ha già implementato la medesima correzione. Via – ModMyi



Il Dev Center di Apple è vulnerabile al phishing scan, Apple corre ai ripari?

giu 28th, 2011 | By
Image screen-shot-2011-06-28-at-15-00-13.png

Un gruppo di hacker ha messo in luce una vulnerabilità del sito Apple Dev Center che lo lascia aperto al phishing scan. Fino a quando Apple non vi porrà rimedio i visitatori del Dev Center possono essere reindirizzati su siti non sicuri che metterebbero a rischio i loro dati personali. Il Dev Center è il sito che Apple dedica agli sviluppatori sul quale vi trovano le release in beta dei software Apple che possono scaricare ed installare per testare le loro app, inoltre il sito è ricco di informazioni sulle tecniche e i linguaggi di programmazione usati per programmare in ambienti OS X e iOS. Il YGN Ethical Hacker Group è il gruppo che ha scoperto questa falla, che se usata da qualche male intenzionato potrebbe reindirizzare il traffico del Dev Center verso siti che metterebbero a rischio i dati personali degli utenti. Il gruppo avrebbe avvertito Apple già il 25 Aprile e la risposta degli ingegneri di Cupertino lasciava intendere che si sarebbe preso il problema seriamente. Il gruppo che ha scoperto questa vulnerabilità opera dal Myanmar ed ha dichiarato che la scoperta fatta non sarà assolutamente utilizzata per scopi malevoli, ma, attraverso segnalazioni come quella fatta per il Dev Center, mirano ad un riconoscimento sul loro operato. Se la falla non sarà chiusa da Apple, nei prossimi giorni il gruppo rilascerà informazioni pubbliche sulla vulnerabilità del sito. Facendo questo sperano che Apple ponga presto rimedio a questa insicurezza. Una situazione analoga è accaduta a Marzo ed ha visto protagonista la McAfee, che dopo una iniziale titubanza nel risolvere il problema segnalato dalla YGN, dopo qualche mese è stata costretta a porvi comunque rimedio ammettendo implicitamente la veridicità della segnalazione. Via | CultofMac



Con iOS 4.3.2 Apple potrebbe aver corretto l’exploit di Charlie Miller

apr 15th, 2011 | By
Image Schermata-2011-04-15-a-22.13.56-414x148.png

Charlie Miller, hacker che dimostrò pubblicamente una delle vulnerabilità di iOS nel corso dell’evento Pwn2Own svoltosi qualche settimana fa, ha comunicato tramite Twitter che Apple potrebbe aver corretto l’exploit da lui scovato nel firmware dell’iPhone con iOS 4.3.2. Nello specifico, quella individuata da Miller era una vulnerabilità presente in Mobile Safari. Apple potrebbe quindi aver corretto questo exploit con l’ultima release di iOS. Non si tratta di una notizia molto importante per gli utenti interessati al jailbreak di questo nuovo firmware dato che l’exploit in questione non risultava più utilizzabile già su iOS 4.3, poichè ostacolato dal protocollo ASLR, ma ora sembrerebbe essere stato definitivamente corretto. Abbiamo anche contattato direttamente Charlie Miller per domandare su cosa si basassero le sue affermazioni e ci ha fornito una risposta piuttosto vaga, a prova del fatto che lo stesso hacker non ha ancora avuto modo di verificare la cosa.



I0n1c conferma: il jailbreak untethered di iOS 4.3.2 sarà presto possibile

apr 15th, 2011 | By
Image I0n1c-untethered-iOS-4.3.2-iphone-414x191.png

Dalle parole di I0n1c, hacker noto per aver fornito all’iPhone Dev-Team l’exploit per il jailbreak untethered di iOS 4.3.1, apprendiamo che Apple non ha corretto la vulnerabilità in questione con il nuovo iOS 4.3.2. Pertanto, nel giro di pochissimi giorni, potrebbero essere rilasciate nuove versioni di Redsn0w, PwnageTool e Sn0wbreeze che consentiranno nuovamente il jailbreak definitivo anche di questa versione del firmware. Probabilmente, ci sarà da attendere davvero poco, questione di giorni, anche se dall’ultimo tweet di I0n1c apprendiamo che l’hacker, poichè in viaggio, non riuscirà a sviluppare i payloads necessari prima di domenica. Tuttavia, lo stesso I0n1c ha già confermato di aver eseguito con successo il jailbreak untethered sul suo iPad di prima generazione. Buone notizie per tutti gli utenti interessati al jailbreak!




Warning: file_put_contents(/home/iltuoiph/public_html//wp-content/cache/qc-c-c01494131eba52545a4b1a8a55f22e95-9d1bdea0cbc87889aa455039326d5c82-e315154ae8be48ede9171006c65fab6c.53c17d011168e2.48032486.tmp) [function.file-put-contents]: failed to open stream: Disk quota exceeded in /home/iltuoiph/public_html/wp-content/advanced-cache.php on line 229

Fatal error: Uncaught exception 'Exception' with message 'Quick Cache: failed to write cache file for: `/iphone/tag/vulnerabilita`; possible permissions issue (or race condition), please check your cache directory: `/home/iltuoiph/public_html//wp-content/cache`.' in /home/iltuoiph/public_html/wp-content/advanced-cache.php:233 Stack trace: #0 [internal function]: quick_cache\advanced_cache->output_buffer_callback_handler('<!DOCTYPE html ...', 5) #1 /home/iltuoiph/public_html/wp-includes/functions.php(2773): ob_end_flush() #2 [internal function]: wp_ob_end_flush_all('') #3 /home/iltuoiph/public_html/wp-includes/plugin.php(429): call_user_func_array('wp_ob_end_flush...', Array) #4 /home/iltuoiph/public_html/wp-includes/load.php(580): do_action('shutdown') #5 [internal function]: shutdown_action_hook() #6 {main} thrown in /home/iltuoiph/public_html/wp-content/advanced-cache.php on line 233