Il recente rilascio della versione 3.1.3 di iPhone OS non ha portato con sé alcuna patch riguardante una errata gestione dei certificati SSL.

Il bug è stato individuato a fine gennaio e le informazioni a riguardo pubblicate sul blog Cryptopath.

Nell’articolo viene mostrato sia possibile firmare un file di configurazione XML utilizzando un “certificato SSL fasullo”, registrato ad una società Apple Computer fittizia.

Continua »

Apple ha rilasciato di recente la nuova versione 3.1.3 del sistema operativo iPhone OS, utilizzato su tutti i device “iPhone” e “iPod Touch”.

L’update è molto importante perché va a patchare ben 5 vulnerabilità di sicurezza, tra le quali alcune che possono consentire ad un potenziale attaccante di prendere possesso da remoto del dispositivo.

Apple ha confermato che ben tre delle falle in questione consentono l’esecuzione di codice arbitrario sui dispositivi.

Continua »

Nei giorni scorsi numerosi utenti olandesi si sono ritrovati il proprio iPhone ostaggio di un hacker. Gli iPhone sotto sequestro (richiesta del riscatto: 5€) sono rimasti bloccati con un messaggio sullo schermo che comunicava al malcapitato le condizioni per il pagamento.

Tramite il popup di riscatto l’hacker informava l’utente che l’iPhone era stato sequestrato perché “veramente insicuro” e che il “rapitore” poteva accedere a tutti i dati memorizzati sul dispositivo.

La vulnerabilità sfruttata è piuttosto banale e ha riguardato solo gli iPhone a cui era stato applicato il jailbreak. La procedura di jailbreak installa sull’iPhone un server SSH, utilizzato per collegarsi al dispositivo, accedere a dati applicazioni e configurazione. Quasi nessuno degli utenti che utilizza il jailbreak prende però la precauzione di cambiare la password di root (l’iPhone utilizza un SO di tipo Unix), che per default è uguale per tutti i dispositivi.

Continua »

Nell’ambito della conferenza hacker Toorcon tenutasi a San Diego questo weekend, Jason Ostrom e Arjun Sambamoorthy hanno mostrato le novità introdotte nel loro tool open-source UCSniff.

Il software in questione è pensato per il testing della sicurezza di VoIP e IP Video, e i due ricercatori hanno dimostrato come con qualche click sia possibile intercettare e ascoltare la conversazione tra due utenti in sala che usando applicazioni iPhone sfruttano la rete wireless per chiamarsi.

Già da un po’ di tempo a questa parte (più di un anno) il tool UCSniff poteva essere usato per intercettare trasmissioni VoIP. La limitazione più grossa tuttavia era l’impossibilità di ascoltare il dialogo se non al termine della conversazione stessa.

Continua »

Dal rilascio di iPhone OS 3.1 (il nuovo firmware di iPhone) su Internet sono comparsi parecchi post riguardanti la funzionalità anti-phishing (già annunciata e introdotta con la versione 3.0) e la sua reale efficacia.

In particolare, col nuovo update è comparsa una sezione “Security” con la voce “Fraud Warning” abilitata di default. Tuttavia questa impostazione sembra dare un falso senso di sicurezza agli utenti.

Questo è quanto hanno verificato sia Michael Sutton, vice presidente di ZScaler, sia i ricercatori di Intego e le loro osservazioni sono state raccolte in un articolo comparso ieri su The Register.

Continua »

Come puntualmente segnalato da oneApple, è stato rilasciato da poco il firmware 2.2 per iPhone e iPod Touch.

Tra le novità, la tanto attesa possibilità di disabilitare il correttore automatico di testi, la Street View di Google all’interno delle mappe, mentre manca ancora il supporto agli MMS e il copia e incolla.

Il nuovo firmware non porta con sé solo nuove funzionalità, ma va anche a coprire alcune falle nella sicurezza dei dispositivi di casa Apple: ci sono infatti 12 vulnerabilità risolte dalla versione 2.2.

Continua »