Falla di sicurezza in iTerm2. “Dati sensibili a rischio”


Una funzione nel terminale per Mac inviava dati in chiaro che avrebbero potuto essere intercettati. L’autore del programma: “non avevo considerato il problema”.

Chi ha utilizzato iTerm2 (un’applicazione che sostituisce il terminale predefinito del Mac – ndr) negli ultimi 12 mesi potrebbe aver sparso ai quattro venti informazioni personali, comprese eventualmente username e password di qualsiasi tipo di servizio.

A provocare il leak (involontario) di informazioni sensibili è una funzione introdotta nel luglio del 2016 che esegue una verifica automatica per capire se nel testo è presente un’URL. Il problema è che la verifica avviene attraverso una richiesta ai server DNS per ogni parola su cui viene posizionato il mouse.

Risultato: tutte le parole vengono inviate (in chiaro) via Internet per la verifica sui server DNS. Chiunque abbia la possibilità di intercettare il traffico, quindi, potrebbe ficcare il naso in quello che viene scritto sul terminale.

iTerm2 sicurezza

Il problema, in realtà, non emerge per la prima volta. Nella prima versione (3.0.0) di iTerm2 rilasciata nel 2016 la funzione era addirittura “bloccata” e il suo autore, George Nachman, aveva inserito la possibilità di disattivarla solo nella versione 3.0.13, dopo che un ricercatore di sicurezza aveva sollevato il problema.

In quel caso, però, l’attenzione era stata concentrata su un altro aspetto, cioè sul fatto che la funzione avrebbe potuto creare un problema nel momento in cui avesse fatto “partire” una richiesta DNS indesiderata. L’autore del programma, quindi, aveva semplicemente introdotto la possibilità di disattivarla ma l’aveva mantenuta attiva nelle impostazioni predefinite.

Sulla scorta di una recente segnalazione, però, Nachman si è reso conto del fatto che il rischio era molto più elevato e ha deciso quindi di eliminarla rilasciando la versione 3.1.1 del terminale “alternativo”.



Articoli correlati

Altro in questa categoria


Una falla in Apache Struts mette a rischio i sistemi delle aziende


Il bug si trova in un plugin e consentirebbe a un pirata di avviare l’esecuzione di codice in remoto sui sistemi Struts.

L’ultimo allarme risaliva al marzo scorso, quando era stata individuata una falla di sicurezza che i pirati avevano cominciato a sfruttare con una velocità sorprendente.

Ora il problema è rappresentato da un bug (CVE-2017-9805) annidato in un plugin (REST) che offrirebbe il fianco a un attacco con le stesse caratteristiche.

Secondo Man Yue Mo, un ricercatore di lgtm.com, permetterebbe infatti di caricare un file alterato ad hoc che permetterebbe di ottenere i privilegi che consentono di avviare l’esecuzione di codice sul sistema.

falla Apache Struts

Il problema riguarda un errore nella gestione dell’ambiente Java e in particolare nel processo di de-serializzazione dei dati.

Il problema è che stiamo parlando di una vulnerabilità che riguarda un software utilizzato dal 65% delle società più grandi sul pianeta e che se fosse sfruttato da pirati informatici potrebbe avere conseguenze devastanti.

La buona notizia è che l’ultima versione di Struts (2.5.13) contiene un aggiornamento che corregge la vulnerabilità. La cattiva notizia è che l’implementazione dell’update, come succede spesso nel caso di programmi di questo genere, non è esattamente “immediata”.

Il tempo necessario per verificare eventuali incompatibilità rappresenta, di conseguenza, una sorta di “finestra” che consentirà ai cyber-criminali di sfruttare la vulnerabilità sui sistemi su cui gira la vecchia versione.



Articoli correlati

Altro in questa categoria


Spunta una vulnerabilità vecchia di 6 anni nei PDF viewer


La falla di sicurezza affligge quasi tutti i software in circolazione, con l’esclusione di OS X e Adobe. Ora la corsa all’aggiornamento.

La prima volta che è stata individuata era il 2011 e sembrava interessasse soltanto un componente di Evinence, un’app per la visualizzazione di documenti in formato PDF su piattaforma Linux.

Secondo il ricercatore Hanno Böck, però, la stessa falla interesserebbe la maggior parte dei visualizzatori oggi in circolazione, compresi quelli utilizzati nei browser.

Il bug permette di provocare un loop che esaurisce le risorse del processore e si trasforma in buona sostanza in uno strumento per portare un attacco DoS (Denial of Service) al browser.

Certo, non si tratta di una falla clamorosa e, in particolare, è piuttosto difficile che qualcuno possa trasformarla in un vero e proprio exploit. In ogni caso rimane un problema con cui è necessario fare i conti.

vulnerabilità PDF

Mandare in crash un browser usando un file PDF può essere usato come vettore di attacco? Al momento non sembra, ma non si sa mai…

Böck ha individuato il problema nel componente integrato in Chrome (PDFium) così come in quello utilizzato da Firefox, in questo caso nella libreria usata per visualizzare i file in formato PDF senza l’uso di plugin. Sia Google che Mozilla hanno comunque già reso disponibili gli update che risolvono il problema.

L’elenco delle vittime comprende (ovviamente) Microsoft Edge, per il quale però non sembra sia ancora pronto il fix. Immuni, invece, lo storico Acrobat Reader di Adobe e il software Apple integrato in OS X.

Difficile capire quanto il bug possa impattare sui tanti software per la visualizzazione e la gestione dei PDF in circolazione. Il ricercatore tedesco, in ogni caso, ha pubblicato su GitHub un file di test che permette agli sviluppatori di eseguire i test per verificare la “tenuta” delle app.



Articoli correlati

Altro in questa categoria


Arriva anche in Italia il phishing per “rapire” i dispositivi Apple


Una volta rubata la password di accesso a iCloud, i cyber-criminali bloccano a distanza i dispositivi e chiedono un riscatto in Bitcoin.

Non è un ransomware ma utilizza più o meno la stessa logica. Stiamo parlando di un attacco di phishing che prende di mira i dispositivi Apple (iPhone e iPad, ma anche i Macbook) e che i cyber-criminali utilizzano già da qualche tempo.

Fino a qualche settimana fa gli episodi erano stati segnalati soprattutto all’estero. Nelle ultime settimane, però, la cronaca ha cominciato a registrare casi anche nel nostro paese.

L’attacco comincia con una classica email di phishing confezionata in modo che sembri provenire da Apple. Nel messaggio, ci viene segnalato un accesso a iCloud avvenuto da un paese straniero e ci viene chiesto di verificare le nostre credenziali di accesso collegandoci a un link indicato all’interno del messaggio di posta.

Il collegamento, naturalmente, non punta al sito di Apple ma a un clone gestito dai pirati informatici. Se inseriamo username e password, questi vengono immediatamente memorizzati dai cyber-criminali, che hanno così accesso al nostro profilo iCloud.

Questo significa che possono mettere le mani su tutti i nostri documenti, i contatti e le informazioni personali che conserviamo nel servizio cloud di Apple. Ma non solo.

Da qui, i pirati hanno la possibilità di utilizzare la funzione Trova il mio iPhone per attivare la Modalità smarrito. Come ben sanno i proprietari di dispositivi Apple, la Modalità smarrito consente di bloccare il dispositivo impostando un codice a 6 cifre attraverso iCloud.

La logica è quella di impedire l’accesso a chi ce lo avesse rubato o lo avesse trovato dopo lo smarrimento. Ma se fatto in questa maniera, si concretizza in un vero e proprio “rapimento” a distanza che rende inutilizzabile il dispositivo a meno di non conoscere il codice di sblocco.

phishing Apple

Il blocco con la Modalità smarrito è un ottimo strumento per proteggere un dispositivo perso. Ma se lo attiva qualcun altro…

Lo sventurato proprietario, a questo punto, si ritrova con il dispositivo bloccato e, visto che i pirati hanno il pieno accesso a iCloud e come prima cosa avranno modificato la password, nell’impossibilità di sbloccarlo usando il sito di Apple.

Il passo successivo è l’email con la richiesta di riscatto, che in alcuni casi i pirati fanno comparire anche sul dispositivo stesso (la Modalità smarrito consente di visualizzare un messaggio nella schermata di blocco) per fare in modo che la vittima li contatti.

phishing Apple

Trovarsi di fronte un messaggio di questo tenore è decisamente spiacevole. Ma è solo l’inizio…

Di solito la cifra richiesta non è particolarmente elevata, nell’ordine dei 50 o 100 euro da pagare in Bitcoin su un conto indicato dai cyber-criminali.

Questo perché i pirati sono consapevoli del fatto che il blocco può essere aggirato rivolgendosi al servizio di assistenza Apple, ma di norma comporta la perdita di tutti i dati memorizzati (sempre che a farne piazza pulita non siano stati i pirati stessi) e rappresenta comunque una scocciatura.

Come in tutti i casi in cui i cyber-criminali chiedono un riscatto, il consiglio però è di non pagare. Nessuno, infatti, può assicurarci che una volta versato l’importo richiesto ci restituiscano l’accesso a iCloud. Peggio ancora: una volta pagato potremmo vederci chiedere ulteriori somme di denaro.

L’unico reale metodo per proteggersi è quello di prevenire l’attacco. Le regole sono sempre le stesse: diffidare sempre dalle comunicazioni che arrivano via email controllando con attenzione l’indirizzo del mittente prima di considerarle attendibili.

Se crediamo si tratti di un messaggio legittimo, colleghiamoci in ogni caso al sito di Apple digitandone l’indirizzo nel browser (o usando il bookmark) e non attraverso il link contenuto nel messaggio.

Infine assicuriamoci di aver attivato il sistema di autenticazione a due fattori. In questo modo, ogni volta che verrà tentato un accesso a iCloud da un dispositivo sconosciuto, oltre alla password il sito chiederà l’inserimento di un codice che Apple invia al nostro iPhone (anche via sms) e di conseguenza l’accesso sarà impossibile per chi non ha tra le mani uno dei dispositivi associati al nostro account.



Articoli correlati

Altro in questa categoria


Vulnerabilità nel kernel di iOS. Violato anche il security chip


Le otto falle corrette con iOS 10.3.2. E intanto un hacker pubblica la chiave crittografica del firmware del Secure Enclave Processor.

Anche iOS mostra qualche scricchiolio nel settore sicurezza. La notizia è quella di un exploit che consente di ottenere permessi in lettura, pubblicato ieri dal ricercatore Adam Donenfeld di Zimperium sotto forma di un “proof of concept” che l’azienda di Tim Cook ha chiesto di rendere pubblico solo a distanza di qualche mese dagli aggiornamenti che hanno corretto i bug che sfrutta.

Anche se nessuno lo specifica, Donenfeld dovrebbe quindi essersi aggiudicato la ricompensa “monstre” di 250.000 dollari offerta a suo tempo da Apple per chi avesse individuato un bug a livello di Kernel dei suoi sistemi operativi mobile. Per fortuna di Tim Cook e soci, il ricercatore non ha (si spera) ceduto alla tentazione di offrire le informazioni a Zerodium, che lo scorso settembre era arrivata a sparare la cifra di 1,5 milioni di dollari come ricompensa per l’individuazione di un exploit di questo genere.

L’exploit, battezzato con il nome di zIVA, sfrutta 8 vulnerabilità presenti nei sistemi iOS nella versione 10.3.1 e precedenti. Consente, in pratica, di ottenere i privilegi di amministratore e installare qualsiasi tipo di programma su iPhone e iPad.

La notizia arriva a una settimana di distanza da quando uno sconosciuto hacker ha pubblicato sul Web una chiave crittografica che sarebbe usata dal firmware del security chip (Secure Enclave Processor o SEP) che i dispositivi Apple usano per conservare le password e le impronte digitali memorizzate.

kernel iOS

Le impronte digitali sono uno dei metodi più sicuri per evitare l’accesso indesiderato ai nostri dispositivi. Con la pubblicazione della chiave crittografica, però, il livello di sicurezza dei dispositivi Apple si può considerare un po’ meno elevato…

Certo, anche se la chiave fosse autentica, il leak non avrebbe conseguenze devastanti. La chiave crittografica, di per sé, non consentirebbe infatti di accedere ad alcun dato sensibile e potrebbe essere al massimo un punto di partenza per avviare una (complessissima) attività di reverse engineering sul firmware del SEP.



Articoli correlati

Altro in questa categoria


Playstation di nuovo sotto attacco, ma stavolta “sono i buoni” di OurMine


OurMine prende il controllo dei social di Playstation, ma solo per chiedere di essere ricontattati. Riuscirà mai Sony a uscire da questa spirale di insicurezza informatica?

Ieri pomeriggio, Sony ha perso per qualche minuto il controllo degli account Playstation su Twitter e  Facebook. Nel breve lasso di tempo, un gruppo di hacker noto come OurMine ha postato alcuni messaggi in cui invitavano Sony a contattarli, dichiarando che la violazione non era mirata a rubare dati, né estorcere denaro, ma solo a segnalare delle falle nella sicurezza.Tweet Ourmine a

OurMine è un noto gruppo di Hacker dell’Arabia Saudita che è già stata al centro di altre azioni “eclatanti” nei confronti di altre aziende e personaggi famosi. Hanno e si definiscono come esperti di sicurezza che lavorano per rendere le aziende più sicure.

Ci sarebbe un po’ da discutere su come questo team recluti nuovi clienti, dal momento che entrare in un sistema e bullarsi della riuscita dell’operazione con i clienti dell’azienda di solito non è un buon modo per catturare le simpatie dei potenziali clienti, ma potrebbe anche essere che il gruppo abbia tentato di mettersi in contatto con l’azienda tramite canali confidenziali ma sia stato ignorato.Sito Web Ourmine

Per il momento, comunque, Sony non ha commentato quanto accaduto e non ci sono indizi che puntino verso un hack malevolo, con furto di dati o altre azioni ostili.

La situazione sembra molto diversa da quanto accaduto nel 2013, ma il problema in questi casi è che non si sa mai chi, oltre a chi lo ha dichiarato pubblicamente, ha trovato (e magari approfittato) della stessa falla.

Per questo, suggeriamo un cambio di password al vostro account Playstation, senza dimenticare anche di dare un’occhiata ai sistemi di recupero delle credenziali.



Articoli correlati

Altro in questa categoria