La sandbox non salva iOS  – Wandera e C.H. Ostfeld hanno la risposta

La sandbox non salva iOS – Wandera e C.H. Ostfeld hanno la risposta

I ricercatori di  tre università hanno scoperto sette classi di vulnerabilità nella funzionalità sandbox del sistema operativo iOS di Apple, che se sfruttati potrebbe consentire a malintenzionati di  lanciare una serie di attacchi che metterebbero a rischio  i dati e la privacy degli utenti iPhone o iPad.

Questa sandbox utilizza un profilo, che Apple definisce come un “container”, che funge da interfaccia per le applicazioni di terze parti, concedendo delle autorizzazioni per le azioni che possono intraprendere  e a quali dati possono accedere.
Tuttavia, gli accademici presso la North Carolina State University, la tedesca Technische Universitat Darmstadt e della rumena University Politehnica of Bucharest hanno annunciato che hanno trovato difetti nel codice del sandbox che potrebbe consentire a sviluppatori di terze parti senza scrupoli di eseguire azioni non autorizzate sui dispositivi iOS.
In particolare, gli aggressori potrebbero sfruttare le vulnerabilità per bypassare le impostazioni di privacy dei  contatti, cercare lo storico della localizzazione, accedere a metadati del file system, ottenere le informazioni sullo spazio di archiviazione su disco, bloccare l’accesso alle risorse di sistema e consentire alle applicazioni di condividere le informazioni con gli altri senza permesso. Un comunicato stampa  della North Carolina State University afferma che riguardano “i dispositivi che eseguono nonjailbroken successive alle versioni di iOS 9.0.2 – tra cui, la versione che ha subito lo studio.

“Molte persone pensano che il sistema operativo chiuso di Apple sia più sicuro del sistema Android aperto”, ha detto Ahmad-Reza Sadeghi, un altro ricercatore e professore di informatica presso la Technische Universitat Darmstadt, in un comunicato stampa dell’università. Per verificare la validità di questa teoria, i ricercatori hanno deciso di dare un’occhiata più da vicino ad una delle caratteristiche chiave della sicurezza in iOS: sandbox. “Il nostro obiettivo era di vedere se si poteva automatizzare il rilevamento delle vulnerabilità di sicurezza”, ha detto Sadeghi.

Per fare questo, i ricercatori hanno creato un processo chiamato “SandScout” in modo da poter eseguire una serie di query automatiche sulla codifica, cercando potenziali scenari di abusi.

I ricercatori approfondiranno le vulnerabilità più in dettaglio in un prossimo documento di ricerca accademica, “SandScout: Automatic Detection of Flaws in iOS Sandbox Profiles”, che è previsto in uscita nel corso della ACM Conference on Computer and Communications Security, che si terrà a Vienna dal 24-28 ottobre.

Fino ad allora, i ricercatori non comunicheranno alcuni dettagli chiave mentre Apple lavora per affrontare i problemi. Secondo i ricercatori, sono stati attivamente impegnati con Apple e si aspettano che l’azienda emetterà una  patch di sicurezza. “Sperano di avere molti di questi problemi risolti con  iOS 10”, ha detto Enck. “Non siamo stati in grado di rivedere ancora le correzioni, ma abbiamo avuto discussioni con loro. Sembra che alcune non saranno completamente  messe a posto nella 10, ma sono consapevoli del problema “.

Wandera:  la risposta ai vostri problemi di mobilità aziendale

I dispositivi mobili sono degli strumenti incredibili per la produttività aziendale. Come si vede però, dando ai dipendenti tali  strumenti,  vengono introdotti anche dei rischi. Oltre a quello di cui si parla sopra,  i dati sensibili possono essere persi o rubati, i dipendenti possono abusare dei dispositivi e i costi possono andare fuori controllo. Di qui la necessità di soluzioni come Wandera che  offre un servizio in cloud per la gestione e sicurezza dei dati mobili.

Scarica la documentazione di Wandera

Download “Wandera_Overview_Italian.pdf” Wandera_Overview_Italian.pdf – Scaricato 252 volte – 3 MB

Fonte: SC Magazine

Ti piace il calcio? Attenzione alle APP!

Ti piace il calcio? Attenzione alle APP!

Come conseguenza  del Campionato Europeo UEFA 2016 la febbre per il calcio ha investito tutta l’Europa. Per questo motivo  il team Labs SmartWire di Wandera ha deciso di analizzare il  traffico dati sui mobile su tutta la loro rete di clienti aziendali situati nei paesi europei che hanno partecipato  al campionato europeo  di quest’anno. Indagando sui miliardi di dati giornalieri scansionati da Secure Mobile Gateway, Wandera ha  fatto alcune scoperte sorprendenti circa la sicurezza dei dati e l’utilizzo del telefono cellulare durante il torneo (periodo di ricerca 25 maggio – 24 giugno 2016).

SITI WEB PERICOLOSI E PERDITE DI DATI

Con il torneo in pieno svolgimento, gli utenti  sono diventati sempre più attivi sui propri dispositivi mobili, esplorando nuovi contenuti. Come risultato di questo picco di attività, SmartWire Labs ha scoperto un aumento del numero di siti web maligni cui si accede da smartphone. Sembra che il paese ospitante sia stato attivamente preso di mira dagli hacker con il 72% dei siti Web dannosi  e il 41% delle password non protette su smartphone in Francia.

Durante il periodo di ricerca, il numero di fughe di dati osservati dal gruppo di ricerca Wandera  è aumentato e hanno previsto che questo numero continuerà ad aumentare durante il proseguimento del torneo. Questo e’ dovuto al fatto che  più persone viaggiano in tutta  Europa e utilizzano applicazioni sconosciute e siti web per accedere alle informazioni sulle partite. La ricerca suggerisce che le fughe di dati avranno un picco dalla fine di giugno alla fine di Euro 2016 prima di tornare a livelli normali a fine luglio.

L’APP UEFA dedicata ai TIFOSI ha una perdita di DATI

Una delle scoperte più sorprendenti dei ricercatori Wandera si riferisce all’App ‘UEFA EURO 2016 Fan Guide’. E ‘una delle applicazioni mobile ufficiali UEFA per Euro 2016, progettata  per fornire informazioni turistiche per i tifosi  che sono in viaggio in Francia per il torneo.

Hanno  scoperto che le credenziali utente (compresi nome utente, password, indirizzo e numero di telefono)  inviate allo store online UEFA, vengono trasferite, da entrambe le versioni dell’app, iOS e Android, su una connessione non sicura. L’applicazione da sola ha più di 100.000 download su Google Play Store, e una valutazione molto alta. Le implicazioni di questo sono enormi con potenzialmente migliaia di persone che hanno i loro dati personali allo scoperto con la possibilità che vengano rubati.

CONCLUSIONE

Nel complesso, il maggiore utilizzo di dati durante l’inizio di Euro 2016 non era certo una sorpresa per nessuno. I rischi associati a questo aumento del traffico hanno però enormi implicazioni. Con piu’  persone che viaggiano in tutta  Europa utilizzando siti web e applicazioni sconosciute, così come la scoperta scioccante che l’applicazione UEFA ufficiale puo’ causare perdite di dati,  potrebbero portare a gravi violazioni della sicurezza con migliaia di dati dei tifosi  a  rischio.

LA RISPOSTA DELLA UEFA

Dal momento che SmartWire Labs ha scoperto la minaccia, UEFA ha riconosciuto e risolto il problema. Un portavoce UEFA ha confermato:

E ‘ vero che c’è un problema con l’applicazione, relativa ad un componente di terze parti nella sezione myfanzone, dove i recapiti di circa 4.000 utenti (nome, e-mail e numero di telefono) non sono stati completamente protetti.

Nel giro di pochi giorni la UEFA ha fatto la seguente dichiarazione:

Tutte le vulnerabilità di sicurezza sono stati risolte. Lo scambio di dati tra la App mobile e il server vengono ora crittografate.

Scaricare le analisi di Euro 2016 di Wandera

Download “Euro_Paper.pdf” Euro_Paper.pdf – Scaricato 354 volte – 778 KB