Falla di sicurezza in iTerm2. “Dati sensibili a rischio”


Una funzione nel terminale per Mac inviava dati in chiaro che avrebbero potuto essere intercettati. L’autore del programma: “non avevo considerato il problema”.

Chi ha utilizzato iTerm2 (un’applicazione che sostituisce il terminale predefinito del Mac – ndr) negli ultimi 12 mesi potrebbe aver sparso ai quattro venti informazioni personali, comprese eventualmente username e password di qualsiasi tipo di servizio.

A provocare il leak (involontario) di informazioni sensibili è una funzione introdotta nel luglio del 2016 che esegue una verifica automatica per capire se nel testo è presente un’URL. Il problema è che la verifica avviene attraverso una richiesta ai server DNS per ogni parola su cui viene posizionato il mouse.

Risultato: tutte le parole vengono inviate (in chiaro) via Internet per la verifica sui server DNS. Chiunque abbia la possibilità di intercettare il traffico, quindi, potrebbe ficcare il naso in quello che viene scritto sul terminale.

iTerm2 sicurezza

Il problema, in realtà, non emerge per la prima volta. Nella prima versione (3.0.0) di iTerm2 rilasciata nel 2016 la funzione era addirittura “bloccata” e il suo autore, George Nachman, aveva inserito la possibilità di disattivarla solo nella versione 3.0.13, dopo che un ricercatore di sicurezza aveva sollevato il problema.

In quel caso, però, l’attenzione era stata concentrata su un altro aspetto, cioè sul fatto che la funzione avrebbe potuto creare un problema nel momento in cui avesse fatto “partire” una richiesta DNS indesiderata. L’autore del programma, quindi, aveva semplicemente introdotto la possibilità di disattivarla ma l’aveva mantenuta attiva nelle impostazioni predefinite.

Sulla scorta di una recente segnalazione, però, Nachman si è reso conto del fatto che il rischio era molto più elevato e ha deciso quindi di eliminarla rilasciando la versione 3.1.1 del terminale “alternativo”.



Articoli correlati

Altro in questa categoria


Spunta una vulnerabilità vecchia di 6 anni nei PDF viewer


La falla di sicurezza affligge quasi tutti i software in circolazione, con l’esclusione di OS X e Adobe. Ora la corsa all’aggiornamento.

La prima volta che è stata individuata era il 2011 e sembrava interessasse soltanto un componente di Evinence, un’app per la visualizzazione di documenti in formato PDF su piattaforma Linux.

Secondo il ricercatore Hanno Böck, però, la stessa falla interesserebbe la maggior parte dei visualizzatori oggi in circolazione, compresi quelli utilizzati nei browser.

Il bug permette di provocare un loop che esaurisce le risorse del processore e si trasforma in buona sostanza in uno strumento per portare un attacco DoS (Denial of Service) al browser.

Certo, non si tratta di una falla clamorosa e, in particolare, è piuttosto difficile che qualcuno possa trasformarla in un vero e proprio exploit. In ogni caso rimane un problema con cui è necessario fare i conti.

vulnerabilità PDF

Mandare in crash un browser usando un file PDF può essere usato come vettore di attacco? Al momento non sembra, ma non si sa mai…

Böck ha individuato il problema nel componente integrato in Chrome (PDFium) così come in quello utilizzato da Firefox, in questo caso nella libreria usata per visualizzare i file in formato PDF senza l’uso di plugin. Sia Google che Mozilla hanno comunque già reso disponibili gli update che risolvono il problema.

L’elenco delle vittime comprende (ovviamente) Microsoft Edge, per il quale però non sembra sia ancora pronto il fix. Immuni, invece, lo storico Acrobat Reader di Adobe e il software Apple integrato in OS X.

Difficile capire quanto il bug possa impattare sui tanti software per la visualizzazione e la gestione dei PDF in circolazione. Il ricercatore tedesco, in ogni caso, ha pubblicato su GitHub un file di test che permette agli sviluppatori di eseguire i test per verificare la “tenuta” delle app.



Articoli correlati

Altro in questa categoria


Arriva anche in Italia il phishing per “rapire” i dispositivi Apple


Una volta rubata la password di accesso a iCloud, i cyber-criminali bloccano a distanza i dispositivi e chiedono un riscatto in Bitcoin.

Non è un ransomware ma utilizza più o meno la stessa logica. Stiamo parlando di un attacco di phishing che prende di mira i dispositivi Apple (iPhone e iPad, ma anche i Macbook) e che i cyber-criminali utilizzano già da qualche tempo.

Fino a qualche settimana fa gli episodi erano stati segnalati soprattutto all’estero. Nelle ultime settimane, però, la cronaca ha cominciato a registrare casi anche nel nostro paese.

L’attacco comincia con una classica email di phishing confezionata in modo che sembri provenire da Apple. Nel messaggio, ci viene segnalato un accesso a iCloud avvenuto da un paese straniero e ci viene chiesto di verificare le nostre credenziali di accesso collegandoci a un link indicato all’interno del messaggio di posta.

Il collegamento, naturalmente, non punta al sito di Apple ma a un clone gestito dai pirati informatici. Se inseriamo username e password, questi vengono immediatamente memorizzati dai cyber-criminali, che hanno così accesso al nostro profilo iCloud.

Questo significa che possono mettere le mani su tutti i nostri documenti, i contatti e le informazioni personali che conserviamo nel servizio cloud di Apple. Ma non solo.

Da qui, i pirati hanno la possibilità di utilizzare la funzione Trova il mio iPhone per attivare la Modalità smarrito. Come ben sanno i proprietari di dispositivi Apple, la Modalità smarrito consente di bloccare il dispositivo impostando un codice a 6 cifre attraverso iCloud.

La logica è quella di impedire l’accesso a chi ce lo avesse rubato o lo avesse trovato dopo lo smarrimento. Ma se fatto in questa maniera, si concretizza in un vero e proprio “rapimento” a distanza che rende inutilizzabile il dispositivo a meno di non conoscere il codice di sblocco.

phishing Apple

Il blocco con la Modalità smarrito è un ottimo strumento per proteggere un dispositivo perso. Ma se lo attiva qualcun altro…

Lo sventurato proprietario, a questo punto, si ritrova con il dispositivo bloccato e, visto che i pirati hanno il pieno accesso a iCloud e come prima cosa avranno modificato la password, nell’impossibilità di sbloccarlo usando il sito di Apple.

Il passo successivo è l’email con la richiesta di riscatto, che in alcuni casi i pirati fanno comparire anche sul dispositivo stesso (la Modalità smarrito consente di visualizzare un messaggio nella schermata di blocco) per fare in modo che la vittima li contatti.

phishing Apple

Trovarsi di fronte un messaggio di questo tenore è decisamente spiacevole. Ma è solo l’inizio…

Di solito la cifra richiesta non è particolarmente elevata, nell’ordine dei 50 o 100 euro da pagare in Bitcoin su un conto indicato dai cyber-criminali.

Questo perché i pirati sono consapevoli del fatto che il blocco può essere aggirato rivolgendosi al servizio di assistenza Apple, ma di norma comporta la perdita di tutti i dati memorizzati (sempre che a farne piazza pulita non siano stati i pirati stessi) e rappresenta comunque una scocciatura.

Come in tutti i casi in cui i cyber-criminali chiedono un riscatto, il consiglio però è di non pagare. Nessuno, infatti, può assicurarci che una volta versato l’importo richiesto ci restituiscano l’accesso a iCloud. Peggio ancora: una volta pagato potremmo vederci chiedere ulteriori somme di denaro.

L’unico reale metodo per proteggersi è quello di prevenire l’attacco. Le regole sono sempre le stesse: diffidare sempre dalle comunicazioni che arrivano via email controllando con attenzione l’indirizzo del mittente prima di considerarle attendibili.

Se crediamo si tratti di un messaggio legittimo, colleghiamoci in ogni caso al sito di Apple digitandone l’indirizzo nel browser (o usando il bookmark) e non attraverso il link contenuto nel messaggio.

Infine assicuriamoci di aver attivato il sistema di autenticazione a due fattori. In questo modo, ogni volta che verrà tentato un accesso a iCloud da un dispositivo sconosciuto, oltre alla password il sito chiederà l’inserimento di un codice che Apple invia al nostro iPhone (anche via sms) e di conseguenza l’accesso sarà impossibile per chi non ha tra le mani uno dei dispositivi associati al nostro account.



Articoli correlati

Altro in questa categoria


Vulnerabilità nel kernel di iOS. Violato anche il security chip


Le otto falle corrette con iOS 10.3.2. E intanto un hacker pubblica la chiave crittografica del firmware del Secure Enclave Processor.

Anche iOS mostra qualche scricchiolio nel settore sicurezza. La notizia è quella di un exploit che consente di ottenere permessi in lettura, pubblicato ieri dal ricercatore Adam Donenfeld di Zimperium sotto forma di un “proof of concept” che l’azienda di Tim Cook ha chiesto di rendere pubblico solo a distanza di qualche mese dagli aggiornamenti che hanno corretto i bug che sfrutta.

Anche se nessuno lo specifica, Donenfeld dovrebbe quindi essersi aggiudicato la ricompensa “monstre” di 250.000 dollari offerta a suo tempo da Apple per chi avesse individuato un bug a livello di Kernel dei suoi sistemi operativi mobile. Per fortuna di Tim Cook e soci, il ricercatore non ha (si spera) ceduto alla tentazione di offrire le informazioni a Zerodium, che lo scorso settembre era arrivata a sparare la cifra di 1,5 milioni di dollari come ricompensa per l’individuazione di un exploit di questo genere.

L’exploit, battezzato con il nome di zIVA, sfrutta 8 vulnerabilità presenti nei sistemi iOS nella versione 10.3.1 e precedenti. Consente, in pratica, di ottenere i privilegi di amministratore e installare qualsiasi tipo di programma su iPhone e iPad.

La notizia arriva a una settimana di distanza da quando uno sconosciuto hacker ha pubblicato sul Web una chiave crittografica che sarebbe usata dal firmware del security chip (Secure Enclave Processor o SEP) che i dispositivi Apple usano per conservare le password e le impronte digitali memorizzate.

kernel iOS

Le impronte digitali sono uno dei metodi più sicuri per evitare l’accesso indesiderato ai nostri dispositivi. Con la pubblicazione della chiave crittografica, però, il livello di sicurezza dei dispositivi Apple si può considerare un po’ meno elevato…

Certo, anche se la chiave fosse autentica, il leak non avrebbe conseguenze devastanti. La chiave crittografica, di per sé, non consentirebbe infatti di accedere ad alcun dato sensibile e potrebbe essere al massimo un punto di partenza per avviare una (complessissima) attività di reverse engineering sul firmware del SEP.



Articoli correlati

Altro in questa categoria


Roomba si prepara a vendere le mappe delle case dei suoi clienti?


L’amministratore delegato di iRobot ipotizza la vendita delle mappe a colossi dell’informatica come Apple, Google e Amazon.

Quali rischi corre la nostra privacy con i dispositivi della “Internet delle cose”? Alcuni sono ovvi, altri un po’ meno. Nessuno, però, poteva immaginarsi che uno dei pericoli potesse essere quello di fornire una mappa della propria casa registrata da… l’aspirapolvere.

L’ipotesi è spuntata in seguito a un’intervista rilasciata a Reuters da Colin Angle, amministratore delegato di iRobot. L’azienda, conosciuta in tutto il mondo per i suoi aspirapolvere-robot Roomba, secondo Angle starebbe valutando l’ipotesi di vendere i dati raccolti dai suoi elettrodomestici “intelligenti”.

Ma di quali dati stiamo parlando? Semplice: la mappa della casa in cui “lavora” l’aspirapolvere. I modelli più recenti di Roomba, infatti, memorizzano al loro interno la mappa della casa per ottimizzare i movimenti ed evitare mobili e arredi.

Tutti questi dati, fino a oggi, sono conservati nella memoria dell’aspirapolvere ma, in un prossimo futuro, potrebbe non essere più così. Angle, infatti, ritiene che le informazioni sulla planimetria del nostro appartamento possa interessare le aziende che si occupano di domotica.

Secondo il CEO di iRobot, infatti, ci sarebbe “un intero ecosistema di dispositivi e servizi che potrebbero avvantaggiarsi dall’uso di una mappa dettagliata che l’utente decide di condividere”.

Al punto che Angle avrebbe dichiarato a Reuters che iRobot potrebbe trovare l’accordo per vendere le sue mappe a Google, Amazon o Apple nei prossimi 2 anni.

Roomba mappe

Ore e ore a spazzare i pavimenti permettono a Roomba di registrare una mappa dettagliatissima della nostra abitazione. Nelle mani di chi potrebbe finire?

D’altra parte la compatibilità con gli ecosistemi domotici (Roomba è già in grado di dialogare con gli assistenti vocali per la smart home di Google e Amazon) sembra essere uno dei fattori di successo dell’azienda, che nell’ultimo anno ha quasi triplicato il valore delle sue azioni, passando da 35 a 102 dollari per azione.

Chissà se l’aumento di valore deriva solo dalle vendite o anche dall’intuizione che gli aspirapolvere-robot, oltre alla polvere, possano raccogliere anche un bel po’ di dati per conto dei colossi dell’IoT.

Angle, però, non sembra porsi troppi problemi per quanto riguarda la privacy e nell’intervista si dichiara sicuro che la maggior parte degli utenti acconsentirà all’uso dei dati.

La domanda, però, è legittima: in che modo verranno avvisati i clienti di questa “collaborazione” tra operatori dell’IoT? Con la solita clausoletta di due righe inserita nelle condizioni di utilizzo? E per quanto riguarda gli utenti che già utilizzano Roomba?

Visto che gli aspirapolvere in commercio hanno già la possibilità di dialogare con Internet per ricevere istruzioni da smartphone, la possibilità che comincino a spifferare informazioni sulla planimetria di casa nostra è tutt’altro che remota.

Il rischio, però, è che questo avvenga a seguito di una di quelle classiche “comunicazioni sul cambio delle condizioni di utilizzo” che ogni tanto arrivano via email (o compaiono sullo schermo dello smartphone) e che nessuno si prende mai la briga di leggere. Nell’era della “Internet of Things”, però, sarà il caso di imparare a farlo.



Articoli correlati

Altro in questa categoria


Aggiornamento per iOS “tappa” la falla nel chip Broadcom


Gli sviluppatori Apple hanno rilasciato l’update del sistema operativo che corregge la vulnerabilità legata al chip Wi-Fi.

Mancano pochi giorni all’avvio del BlackHat 2017 di Las Vegas, in cui tra le altre cose verranno diffusi i dettagli relativi alla vulnerabilità battezzata Broadpwn che affligge tutti i dispositivi equipaggiati con il chip Wi-Fi di Broadcom.

Come abbiamo riportato in questo articolo, la falla di sicurezza permetterebbe a un pirata informatico di avviare l’esecuzione di codice in remoto attraverso il collegamento wireless e non richiederebbe alcuna interazione da parte dell’utente.

Mentre Google ha già rilasciato gli aggiornamenti di sicurezza per Android dopo pochi giorni dalla pubblicazione del primo avviso relativo al bug, Apple se l’è presa più comoda.

iOS Broadcom

Apple non ha fatto annunci roboanti, ma l’aggiornamento è comunque arrivato in tempo per evitare guai agli utilizzatori di iPhone e iPad.

Ieri, però, la casa di Cupertino ha rilasciato la nuova versione di iOS 10.3.3, che tra le novità ha appunto il fix che va a “tappare” Broadpwn.

Il suggerimento per tutti gli utenti Apple è, naturalmente, di procedere all’aggiornamento il prima possibile. A partire dal 26 luglio, infatti, i dettagli su Broadpwn saranno di dominio pubblico ed è probabile che qualche pirata informatico possa usarli per creare un exploit in grado di portare l’attacco nei confronti dei dispositivi vulnerabili.



Articoli correlati

Altro in questa categoria