Categories: NewsNewsletter

La sandbox non salva iOS – Wandera e C.H. Ostfeld hanno la risposta

I ricercatori di  tre università hanno scoperto sette classi di vulnerabilità nella funzionalità sandbox del sistema operativo iOS di Apple, che se sfruttati potrebbe consentire a malintenzionati di  lanciare una serie di attacchi che metterebbero a rischio  i dati e la privacy degli utenti iPhone o iPad.

Questa sandbox utilizza un profilo, che Apple definisce come un “container”, che funge da interfaccia per le applicazioni di terze parti, concedendo delle autorizzazioni per le azioni che possono intraprendere  e a quali dati possono accedere.
Tuttavia, gli accademici presso la North Carolina State University, la tedesca Technische Universitat Darmstadt e della rumena University Politehnica of Bucharest hanno annunciato che hanno trovato difetti nel codice del sandbox che potrebbe consentire a sviluppatori di terze parti senza scrupoli di eseguire azioni non autorizzate sui dispositivi iOS.
In particolare, gli aggressori potrebbero sfruttare le vulnerabilità per bypassare le impostazioni di privacy dei  contatti, cercare lo storico della localizzazione, accedere a metadati del file system, ottenere le informazioni sullo spazio di archiviazione su disco, bloccare l’accesso alle risorse di sistema e consentire alle applicazioni di condividere le informazioni con gli altri senza permesso. Un comunicato stampa  della North Carolina State University afferma che riguardano “i dispositivi che eseguono nonjailbroken successive alle versioni di iOS 9.0.2 – tra cui, la versione che ha subito lo studio.

“Molte persone pensano che il sistema operativo chiuso di Apple sia più sicuro del sistema Android aperto”, ha detto Ahmad-Reza Sadeghi, un altro ricercatore e professore di informatica presso la Technische Universitat Darmstadt, in un comunicato stampa dell’università. Per verificare la validità di questa teoria, i ricercatori hanno deciso di dare un’occhiata più da vicino ad una delle caratteristiche chiave della sicurezza in iOS: sandbox. “Il nostro obiettivo era di vedere se si poteva automatizzare il rilevamento delle vulnerabilità di sicurezza”, ha detto Sadeghi.

Per fare questo, i ricercatori hanno creato un processo chiamato “SandScout” in modo da poter eseguire una serie di query automatiche sulla codifica, cercando potenziali scenari di abusi.

I ricercatori approfondiranno le vulnerabilità più in dettaglio in un prossimo documento di ricerca accademica, “SandScout: Automatic Detection of Flaws in iOS Sandbox Profiles”, che è previsto in uscita nel corso della ACM Conference on Computer and Communications Security, che si terrà a Vienna dal 24-28 ottobre.

Fino ad allora, i ricercatori non comunicheranno alcuni dettagli chiave mentre Apple lavora per affrontare i problemi. Secondo i ricercatori, sono stati attivamente impegnati con Apple e si aspettano che l’azienda emetterà una  patch di sicurezza. “Sperano di avere molti di questi problemi risolti con  iOS 10”, ha detto Enck. “Non siamo stati in grado di rivedere ancora le correzioni, ma abbiamo avuto discussioni con loro. Sembra che alcune non saranno completamente  messe a posto nella 10, ma sono consapevoli del problema “.

Wandera:  la risposta ai vostri problemi di mobilità aziendale

I dispositivi mobili sono degli strumenti incredibili per la produttività aziendale. Come si vede però, dando ai dipendenti tali  strumenti,  vengono introdotti anche dei rischi. Oltre a quello di cui si parla sopra,  i dati sensibili possono essere persi o rubati, i dipendenti possono abusare dei dispositivi e i costi possono andare fuori controllo. Di qui la necessità di soluzioni come Wandera che  offre un servizio in cloud per la gestione e sicurezza dei dati mobili.

Scarica la documentazione di Wandera

Download “Wandera_Overview_Italian.pdf” Wandera_Overview_Italian.pdf – Scaricato 973 volte – 3 MB

Fonte: SC Magazine

Alessandra Bellotti

Comments are closed.

Recent Posts

Che cos’è l’AI Asset Management? E perché rappresenta il tassello mancante della governance dell’Intelligenza Artificiale

L'intelligenza artificiale è ormai parte integrante delle attività quotidiane delle aziende. I dipendenti utilizzano strumenti di AI generativa per creare…

3 giorni ago

La guerra informatica è ormai una questione di sicurezza per tutte le aziende

La guerra informatica non si limita più alla geopolitica. Quella che un tempo era principalmente una preoccupazione per le agenzie…

4 giorni ago

Il racconto che faccio quando parlo di sicurezza dei dati con le banche

Scritta su un treno delle 7 del mattino, dopo tre caffè decisamente pessimi Questo articolo è nato come un messaggio…

5 giorni ago

SPARK in Tour: quando l’innovazione restituisce tempo alle persone

Nelle ultime settimane Xurrent ha portato il nuovo roadshow europeo SPARK in tre città – Londra, Anversa e Monaco –…

5 giorni ago

Più controllo sull’enrollment mobile: disponibili ora gli Onboarding Workflows per Android in Workspace ONE UEM

Ogni nuovo dispositivo mobile ha una prima ora critica: la finestra temporale tra l’enrollment e il primo utilizzo da parte…

4 settimane ago

Keeper Security è stata riconosciuta da Gartner tra le aziende di sicurezza a più rapida crescita nel report Market Share Analysis 2026 sul mercato globale del software di sicurezza (dati 2025)

Il rapporto Gartner Market Share Analysis: Security Software, Worldwide, 2025 indica Keeper Security come la seconda azienda di sicurezza in…

1 mese ago