Alcuni ricercatori dell’Università dell’Indiana e dell’Institute of Technology della Georgia affermano di aver trovato alcune falle di sicurezza su iOS e OS X che permettono di rubare le password salvate nel Portachiavi Apple.
Il Portachiavi Apple è utilizzato su iOS e OS X per memorizzare tutte le password salvate dall’utente. Su iOS, il portachiavi conserva automaticamente le informazioni di accesso ai vari siti web, alle app e agli account Mail, mentre su OS X l’utente può inserire anche altri dati sensibili. Sfruttando questo bug, un malintenzionato potrebbe quindi avere le chiavi di accesso a tutti gli account salvati dall’utente, compresi quelli di Facebook, Evernote e delle altre app o servizi web utilizzati su iOS e OS X.
I ricercatori fanno sapere di aver scoperto il bug nel mese di ottobre e di aver subito informato Apple. L’azienda di Cupertino capì subito la gravità della falla, tant’è che chiese subito ai ricercatori di avere altri 6 mesi di tempo per affrontare il problema, prima di rendere noto l’exploit.
Nel mese di febbraio, Apple ha chiesto ulteriori delucidazioni ai ricercatori, ma sembra che nemmeno iOS 8.4 e l’ultima versione di OS X abbiano risolto il problema. I ricercatori sono ancora in grado di caricare il malware sfruttando le vulnerabilità di iOS e OS X, nonostante gli sforzi di Apple. Anzi, i ricercatori hanno addirittura creato due app con codice malevolo per App Store e Mac App Store, entrambe approvate e pubblicate da Apple. Queste app hanno permesso di accedere ai vari dati sensibili dell’utente, ma non con l’accesso diretto al Portachiavi. Per ottenere questi dati, le app possono farlo indirettamente costringendo gli utenti ad eseguire alcune azioni manuali, ad esempio chiedendo alcune credenziali di accesso ai servizi più comuni.
Per ora, il consiglio è quello di scaricare solo app di sviluppatori conosciuti o di cui ne hanno parlato blog come il nostro. In ogni caso, bisogna stare attenti quando un’app poco nota chiede di effettuare il login manuale ad un determinato servizio, visto che questa funzione è solitamente automatizzata proprio grazie al Portachiavi presente su iOS e OS X.
[via]