È stata scoperta una falla di sicurezza che colpisce oltre 1500 app per iOS e che, secondo la società di analisi SourceDNA, le renderebbe un bersaglio perfetto per gli attacchi man-in-the-middle. Gli hacker, infatti, possono accedere al nostro dispositivo e scoprire password, numeri di conto bancario ed altre informazioni sensibili inviate tramite il protocollo HTTPS. Le applicazioni vulnerabili, come spiga 9to5mac, utilizzano una vecchia versione dell’AFNetworking e quindi il problema è legato ad una libreria di terze parti, la quale, sfruttata da un malintenzionato, permette di intercettare i dati inviati dai dispositivi collegati ad un falso hotspot Wi-Fi.

Solitamente un attacco simile non sarebbe possibile in quanto la connessione cadrebbe automaticamente, ma nella versione 2.5.1 dell’AFNetworking è presente un errore nel codice open-source integrato nelle app che non effettua alcun controllo sul protocollo HTTPS e, di conseguenz,a non scollega il dispositivo dal finto hotspot, lasciandolo vulnerabile agli attacchi e agli accessi esterni poiché considerati attendibili.

Codice

Anche se una correzione è stata introdotta nella versione 2.5.2, molte applicazioni presenti su App Store non sono state ancora aggiornate e quindi possono essere sfruttate per eseguire l'hack. Dopo aver identificato il bug, SourceDNA ha analizzato tutte le app presenti sullo store di Apple e se inizialmente non ha riferito i nomi di quelle a rischio, per dare agli sviluppatori il tempo di aggiornarle, ora ha fornito uno strumento di ricerca per consentire agli utenti di iPhone e iPad di scoprire se qualcuna di queste è installata nel proprio dispositivo.

Per sapere se sui nostri terminali è presente una delle applicazioni “difettose”, basterà recarsi su questo sito e cercare usando il nome di uno sviluppatore per scoprire se qualcuna delle sue app è vulnerabile.