I ricercatori di tre università hanno scoperto sette classi di vulnerabilità nella funzionalità sandbox del sistema operativo iOS di Apple, che se sfruttati potrebbe consentire a malintenzionati di lanciare una serie di attacchi che metterebbero a rischio i dati e la privacy degli utenti iPhone o iPad.
Questa sandbox utilizza un profilo, che Apple definisce come un “container”, che funge da interfaccia per le applicazioni di terze parti, concedendo delle autorizzazioni per le azioni che possono intraprendere e a quali dati possono accedere.
Tuttavia, gli accademici presso la North Carolina State University, la tedesca Technische Universitat Darmstadt e della rumena University Politehnica of Bucharest hanno annunciato che hanno trovato difetti nel codice del sandbox che potrebbe consentire a sviluppatori di terze parti senza scrupoli di eseguire azioni non autorizzate sui dispositivi iOS.
In particolare, gli aggressori potrebbero sfruttare le vulnerabilità per bypassare le impostazioni di privacy dei contatti, cercare lo storico della localizzazione, accedere a metadati del file system, ottenere le informazioni sullo spazio di archiviazione su disco, bloccare l’accesso alle risorse di sistema e consentire alle applicazioni di condividere le informazioni con gli altri senza permesso. Un comunicato stampa della North Carolina State University afferma che riguardano “i dispositivi che eseguono nonjailbroken successive alle versioni di iOS 9.0.2 – tra cui, la versione che ha subito lo studio.
“Molte persone pensano che il sistema operativo chiuso di Apple sia più sicuro del sistema Android aperto”, ha detto Ahmad-Reza Sadeghi, un altro ricercatore e professore di informatica presso la Technische Universitat Darmstadt, in un comunicato stampa dell’università. Per verificare la validità di questa teoria, i ricercatori hanno deciso di dare un’occhiata più da vicino ad una delle caratteristiche chiave della sicurezza in iOS: sandbox. “Il nostro obiettivo era di vedere se si poteva automatizzare il rilevamento delle vulnerabilità di sicurezza”, ha detto Sadeghi.
Per fare questo, i ricercatori hanno creato un processo chiamato “SandScout” in modo da poter eseguire una serie di query automatiche sulla codifica, cercando potenziali scenari di abusi.
I ricercatori approfondiranno le vulnerabilità più in dettaglio in un prossimo documento di ricerca accademica, “SandScout: Automatic Detection of Flaws in iOS Sandbox Profiles”, che è previsto in uscita nel corso della ACM Conference on Computer and Communications Security, che si terrà a Vienna dal 24-28 ottobre.
Fino ad allora, i ricercatori non comunicheranno alcuni dettagli chiave mentre Apple lavora per affrontare i problemi. Secondo i ricercatori, sono stati attivamente impegnati con Apple e si aspettano che l’azienda emetterà una patch di sicurezza. “Sperano di avere molti di questi problemi risolti con iOS 10”, ha detto Enck. “Non siamo stati in grado di rivedere ancora le correzioni, ma abbiamo avuto discussioni con loro. Sembra che alcune non saranno completamente messe a posto nella 10, ma sono consapevoli del problema “.
Wandera: la risposta ai vostri problemi di mobilità aziendale
I dispositivi mobili sono degli strumenti incredibili per la produttività aziendale. Come si vede però, dando ai dipendenti tali strumenti, vengono introdotti anche dei rischi. Oltre a quello di cui si parla sopra, i dati sensibili possono essere persi o rubati, i dipendenti possono abusare dei dispositivi e i costi possono andare fuori controllo. Di qui la necessità di soluzioni come Wandera che offre un servizio in cloud per la gestione e sicurezza dei dati mobili.
Scarica la documentazione di Wandera
Download “Wandera_Overview_Italian.pdf” Wandera_Overview_Italian.pdf – Scaricato 973 volte – 3 MB
Fonte: SC Magazine
L'intelligenza artificiale è ormai parte integrante delle attività quotidiane delle aziende. I dipendenti utilizzano strumenti di AI generativa per creare…
La guerra informatica non si limita più alla geopolitica. Quella che un tempo era principalmente una preoccupazione per le agenzie…
Scritta su un treno delle 7 del mattino, dopo tre caffè decisamente pessimi Questo articolo è nato come un messaggio…
Nelle ultime settimane Xurrent ha portato il nuovo roadshow europeo SPARK in tre città – Londra, Anversa e Monaco –…
Ogni nuovo dispositivo mobile ha una prima ora critica: la finestra temporale tra l’enrollment e il primo utilizzo da parte…
Il rapporto Gartner Market Share Analysis: Security Software, Worldwide, 2025 indica Keeper Security come la seconda azienda di sicurezza in…