Vai al contenuto
Falla di Facebook permetteva di rubare gli account: risolta

Falla di Facebook permetteva di rubare gli account: risolta

La raccomandazione di non considerare privata qualunque cosa immessa in un social network ha trovato una dimostrazione molto ingegnosa pochi giorni fa: è infatti emerso che Facebook aveva una falla che consentiva di leggere e vedere tutto il contenuto degli account altrui.

La falla è stata scoperta a luglio 2015 da un ricercatore di sicurezza britannico, noto con il nomignolo finite, che l’ha tenuta segreta e segnalata a Facebook, ricevendo una ricompensa di circa 7500 dollari. Ricompensa meritata, visto che scoprire e sfruttare la falla richiedeva un ingegno davvero notevole e una creatività altrettanto sviluppata.

Finite ha infatti scoperto un modo di iniettare del contenuto creato da lui all’interno delle pagine generate da Facebook e soprattutto di far credere a Facebook che si trattasse di contenuto creato da Facebook e non dal ricercatore di sicurezza: in gergo tecnico, un classico cross-site scripting.

Fin qui nulla di straordinario: quello che merita una lode particolare è il contenuto iniettato da finite, ossia un’immagine. Siccome il testo viene (giustamente) filtrato da Facebook, perché potrebbe essere interpretato come istruzioni da eseguire, mentre le immagini sono considerate innocue, finite ha creato un’immagine in formato PNG, quindi compressa, che una volta interpretata e scompattata da Facebook diventa testo e specificamente diventa uno script che Facebook interpreta come proprio e quindi esegue senza restrizioni, permettendo di prendere il controllo degli account altrui. Geniale.

I dettagli sono raccontati da finite qui. L’immagine che ha adoperato è quella mostrata qui sopra, ma non provate a usarla: Facebook ha chiuso subito la falla che veniva sfruttata tramite quest’immagine.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Gioca a Jurassic World sull’iPad e spende oltre 5000 euro

Gioca a Jurassic World sull’iPad e spende oltre 5000 euro

Giocare a un giochino gratuito e trovarsi in bolletta 4000 sterline (circa 5780 franchi, 5290 euro) è una di quelle esperienze che cementa per sempre il rapporto padre-figlio. È quello che è successo in Inghilterra a Mohamed Shugaa, che vive nel West Sussex, che ha scoperto che suo figlio Faisall, di sette anni, aveva memorizzato le sue password dell’iPad e del suo Apple ID e li aveva usati per giocare a Jurassic World, facendo in tutto 65 acquisti all’interno del gioco gratuito nel corso di cinque giorni a dicembre scorso, senza rendersi conto che i Dino Bucks, i soldi virtuali usati nel gioco, vengono poi convertiti in soldi veri, per un totale appunto di 4000 sterline.

Il padre sapeva che il figlio era in grado di accedere al suo iPad, ma non era consapevole che Faisall sapesse anche la sua password di Apple ID e soprattutto si chiede come faccia Apple a pensare che qualcuno possa consapevolmente spendere migliaia di sterline per acquistare dinosauri virtuali e aggiornare un giochino, e non mandi all’utente un avviso o ponga un limite di spesa.

Più in generale, la Federal Trade Commission statunitense ha pubblicato un’infografica (immagine qui accanto) che mette in guardia i genitori su quello che possono fare le app: raccogliere nomi e indirizzi dei bambini, far spendere soldi veri anche se l’app è gratuita, includere pubblicità discutibili, collegarsi ai social network e altro ancora. Non sono, insomma, semplici giochini da scegliere e affidare ai bambini senza pensarci troppo.

Per prevenire queste situazioni conviene prendere alcune precauzioni, come per esempio attivare il sensore d’impronta del dispositivo, se presente; creare un account iTunes separato per il figlio, senza associarlo a una carta di credito e usando invece una tessera prepagata; non mostrare le proprie password a nessuno, neanche ai familiari; e naturalmente tenere d’occhio l’estratto conto della propria carta di credito.

Per fortuna la disavventura della famiglia Shugaa è finita bene: è riuscito a convincere l’assistenza clienti di Apple ad annullare la fattura, visto il suo importo davvero elevato. Ma non è detto che vada sempre bene, specialmente se la cifra in gioco è meno elevata.



Fonti: Sophos.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Bimbo dice di sentire le voci di notte in cameretta: stavolta è vero

Bimbo dice di sentire le voci di notte in cameretta: stavolta è vero

Ricordate quando eravate bambini e vi mettevano a letto nella vostra cameretta e nella semioscurità ogni forma sembrava un mostro e faceva paura? Io ero particolarmente ossessionato da una vestaglia appesa dietro la porta della mia stanza: avrei giurato di averla vista muoversi tante volte.

Immaginate ora che vostro figlio venga a raccontarvi che ha paura perché di notte sente delle voci in camera sua. Probabilmente pensereste che se lo sta sognando o che sta manifestando la naturale paura infantile di restare solo. Dev’essere quello che hanno pensato Jay e Sarah, i genitori di un bimbo di tre anni negli Stati Uniti, quando il piccolo ha raccontato che sentiva le voci. Fino al momento in cui le hanno udite anche loro provenire dall’interno della cameretta: Sarah è entrata e ha sentito una voce dire “Svegliati bambino, papà ti sta cercando”.

Possessioni demoniache? No, semplicemente un baby monitor troppo tecnologico e insicuro. Oggi sono molto diffuse le versioni Wi-Fi di questi dispositivi per sorvegliare a distanza i bambini mentre dormono e sentire se piangono o hanno bisogno, e soprattutto vanno di moda le versioni bidirezionali, dove non solo si può vedere e ascoltare il bimbo ma si può anche parlare con lui.

Nel caso di Jay e Sarah, il baby monitor era accessibile da Internet a causa di una configurazione insicura e qualcuno lo ha scoperto (non è difficile) e ha cominciato a chiacchierare con il bambino.

Se avete dispositivi di questo genere, ricordate dunque di cambiare la loro password predefinita e di configurarli in modo che non siano accessibili dall’esterno e tenete aggiornato il loro software di gestione (spesso questi dispositivi vengono venduti con difetti di sicurezza che vengono corretti in seguito). Oppure lasciate perdere le soluzioni hi-tech e procuratevi un baby monitor tradizionale, che funziona via radio e non è così vulnerabile semplicemente perché non consente di parlare al bimbo.



Fonte: KDVR.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Braccialetto Fitbit infettabile troppo facilmente? Fortinet dice di sì, Fitbit nega

Braccialetto Fitbit infettabile troppo facilmente? Fortinet dice di sì, Fitbit nega

Nuove frontiere dell’Internet delle Cose, o meglio, dell’Internet delle Cose Insicure: il braccialetto di fitness Fitbit Flex può veicolare infezioni informatiche ed è attaccabile a distanza in dieci secondi. Si tratta della prima dimostrazione pratica di un attacco informatico condotto sfruttando un dispositivo digitale di monitoraggio dell’attività fisica.

La ricercatrice Axelle Apvrille, della società di sicurezza Fortinet, descrive in dettaglio la tecnica che ha usato per questo virtuosismo informatico, che per ora è puramente dimostrativo (video) e non è in circolazione: un aggressore situato nelle immediate vicinanze della vittima manda al braccialetto, via Bluetooth, un apposito pacchetto di dati infetto, e poi si allontana. Il braccialetto accetta il pacchetto senza fare alcun controllo e la fase attiva dell’attacco è già conclusa.

Quando la vittima sincronizza il braccialetto con i server della Fitbit per aggiornare il proprio profilo, lo scambio di messaggi contiene i dati infetti. Dato che il braccialetto viene spesso collegato a un computer, il codice infetto può essere recapitato al computer per infettarlo, per esempio per aprire una backdoor, causare un crash oppure propagare l’infezione ad altri braccialetti.

L’attacco è particolarmente subdolo perché l’utente non si aspetta che un braccialetto di fitness possa essere un bersaglio e un veicolo d’infezione, e non è l’unico successo di Apvrille, che è riuscita ad alterare il numero di passi contati e la distanza percorsa per guadagnare punti che possono essere convertiti in sconti e premi.

Fitbit è stata avvisata della falla a marzo scorso da Fortinet, ma non
l’ha ancora corretta. Ora che la falla è stata resa pubblica può darsi
che cambi idea, ma l’azienda ha dichiarato senza mezzi termini che “le questioni di sicurezza segnalate sono false e i dispositivi Fitbit non possono essere usati per infettare gli utenti con del malware”.

Non è la prima volta che questo braccialetto di fitness viene colto in fallo: nel 2013 emerse che era possibile falsificare le informazioni di login per accedere a qualunque account Fitbit e vincere premi, mentre nel 2011 le attività amorose degli utenti furono rese pubbliche tramite ricerche via Web che permettevano di sapere chi si era dedicato a sforzi “energici” oppure “passivi e leggeri”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ricercatore svizzero trova falle nelle telecamere di sorveglianza via Internet, ma non può dirci quali

Ricercatore svizzero trova falle nelle telecamere di sorveglianza via Internet, ma non può dirci quali

Moltissime telecamere di sicurezza commerciali, compresi i modelli più costosi, sono estremamente vulnerabili e consentono a malintenzionati di usarle per spiarci, secondo le ricerche svolte da Gianni Gnesa, consulente della zurighese Ptrace Security. Gnesa vorrebbe dirci quali, e stava per farlo in una conferenza di sicurezza informatica, ma il suo intervento è stato annullato per motivi legali.

In alcuni casi queste telecamere hanno credenziali d’accesso (password e simili) non modificabili, backdoor non documentate e connessioni su telnet prive di qualunque protezione. Uno dei modelli esaminati da Gnesa ha 30.000 esemplari vulnerabili e accessibili via Internet, facilmente reperibili usando servizi come il motore di ricerca Shodan.

Ma i nomi delle telecamere insicure sono sotto bavaglio: una delle marche ha infatti inviato una comunicazione legale a Gnesa mentre si apprestava a presentare i propri risultati alla conferenza Hack in the Box a Singapore.

Gnesa non può quindi fare nomi, ma dice che si tratta di “telecamere di fascia media molto diffuse che si possono trovare su Amazon […] hanno buone recensioni e si dichiarano sicure” e può descrivere quello che ha trovato: “tutte hanno vulnerabilità che permetterebbero di spegnerle, bloccare la trasmissione delle immagini o accedere al pannello di amministrazione”.

La soluzione è cercare aggiornamenti al software e configurare l’accesso a queste telecamere in modo che non si affaccino direttamente a Internet e quindi non espongano all’esterno le proprie vulnerabilità (per esempio depositando le proprie immagini su un server sicuro). Ma si tratta di interventi decisamente fuori dalla portata dell’utente comune, per cui conviene affidarsi a specialisti informatici oppure ad altre tecnologie, più tradizionali e meno vulnerabili a distanza, per la sorveglianza video di qualunque risorsa importante.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Fiat Chrysler richiama migliaia di SUV Renegade USA: sono sabotabili via Internet

Fiat Chrysler richiama migliaia di SUV Renegade USA: sono sabotabili via Internet

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di giovanni.ga*. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento, come ha fatto cavez86.

Ricordate le auto della Fiat Chrysler alle quali era possibile per esempio sabotare i freni attraverso la loro connessione a Internet? 1,4 milioni di auto da richiamare e una figuraccia epica. Sembrava che l’idea spettacolarmente stupida di collegare il sistema di intrattenimento di bordo (connesso a Internet) con i sistemi di guida fosse limitata a quei veicoli, ma adesso salta fuori che anche le Jeep Renegade dotate di uno specifico sistema di intrattenimento sono vulnerabili.

FCA ha infatti richiamato 7810 Jeep Renegade vendute negli Stati Uniti per un difetto software analogo che però riguarda un tipo di autoradio diverso da quello già noto come vulnerabile. Circa metà degli esemplari è ancora presso i concessionari; i proprietari delle auto già vendute riceveranno una chiavetta USB, simile a quella mostrata qui sopra (riguardante la falla precedente), che dovranno usare per aggiornare il software dell’auto.

Ebbene sì: i geni della sicurezza di FCA, quelli che hanno avuto la pensata di collegare a Internet i sistemi vitali delle auto, adesso hanno “risolto” questo difetto spettacolare di progettazione mandando una chiavetta USB per posta. Sono solo io a vedere la falla fondamentale di sicurezza in questo approccio? L’idea che qualcuno potrebbe mandare ai clienti lettere false contenenti chiavette con software per infettare le auto è, presumo, ovvia per chiunque sia abituato a ricevere (e cestinare) le solite mail del finto supporto tecnico di Windows che invitano a cliccare per scaricare un “importante aggiornamento di sicurezza”. A quanto pare non è ovvia per FCA. Fossi un proprietario di un’auto attaccabile via Internet, l’ultima cosa che farei è installarci su roba ricevuta su una chiavetta per posta: butterei via la chiavetta e andrei dal concessionario a farmi fare l’aggiornamento (opzione peraltro prevista da FCA nella lettera).

Episodi come questo dimostrano che l’industria dell’Internet delle Cose deve ancora imparare le lezioni fondamentali di sicurezza che la comunità informatica ha capito a furia di bastonate e scottature. Solo che qui il rischio non è di trovarsi col computer impallato, ma di trovarsi con l’auto senza freni in discesa.

Fra l’altro, se siete curiosi di sapere cosa c’è su una chiavetta di questo genere, qualcuno ha caricato su Dropbox una sua immagine ISO, ovviamente da non usare per fare aggiornamenti di auto. Buono studio, e prudenza.

Fonti aggiuntive: Mikko HypponenThe Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Firefox: trafugati dati riservati sulle sue falle, indispensabile aggiornarsi

Firefox: trafugati dati riservati sulle sue falle, indispensabile aggiornarsi

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “arianna.bo*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Se usate Firefox aggiornato siete a posto, ma se ne state ancora usando versioni vecchie avete un grosso problema: qualcuno ha avuto accesso all’elenco riservato delle sue falle di sicurezza irrisolte e l’ha sfruttato per creare attacchi informatici. Per un anno intero. Ed è successo perché uno dei manutentori è stato così ingenuo da usare altrove la stessa password che usava per accedere a quest’elenco delicatissimo e se l’è fatta fregare.

L’annuncio, con PDF esplicativo, non mena il can per l’aia: Bugzilla, il sistema informatico utilizzato da Mozilla (la comunità degli sviluppatori di Firefox) per gestire le informazioni sui problemi di sicurezza del popolarissimo browser, è stato violato. L’aggressore è riuscito a procurarsi un accesso all’account di un utente privilegiato di Bugzilla e ha potuto quindi consultare tutte le informazioni riservate sulle falle irrisolte in Firefox e altri software sviluppati da Mozilla. In barba alle regole basilari della sicurezza, l’utente aveva infatti riutilizzato la propria password di Bugzilla su un altro sito (non identificato nell’annuncio), che è stato violato, saccheggiandone le password.

In effetti è un metodo geniale per procurarsi tecniche d’attacco: invece di studiare il software e cercarne faticosamente le falle, basta entrare nell’account di uno sviluppatore di quel software e leggere la documentazione che descrive con precisione le vulnerabilità ancora aperte. E per entrare nell’account dello sviluppatore basta sfruttarne le imprudenze banali.

L’aggressore ha avuto accesso ai dati riservati sicuramente da settembre 2014, ma ci sono indizi che suggeriscono che l’intrusione fosse già in corso da settembre 2013. L’intruso ha consultato ben 185 falle riservate di Firefox, 53 delle quali riguardavano vulnerabilità gravi: di queste, dieci non erano state corrette pubblicamente al momento in cui sono state viste dall’aggressore. Mozilla ritiene che almeno una di queste dieci sia stata sfruttata dall’aggressore per attacchi informatici. Ne aveva parlato ai primi di agosto, senza dire nulla della violazione, annunciando che c’era una pubblicità su un sito russo che attaccava gli utenti di Firefox usando quella falla e ne rubava file sensibili per mandarli a un server situato a quanto pare in Ucraina.

Tutte le falle carpite dall’aggressore sono state risolte con la versione di Firefox 40.0.3, pubblicata il 27 agosto scorso. Se state usando questa versione, questa fuga di dati non ha effetto sulla vostra sicurezza. Se state usando versioni precedenti, datevi una mossa e aggiornatevi.

Adesso che i buoi sono scappati, Bugzilla ha imposto l’uso dell’autenticazione a due fattori per tutti gli sviluppatori e sta limitando l’accesso ai dati più sensibili. Un po’ come mettere finalmente una serratura alla porta di casa dopo che sono passati i ladri e hanno trovato la porta aperta. Complimenti vivissimi.

Fonti aggiuntive: Ars TechnicaThe Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Guai di sicurezza in vista per Mac OS X

Guai di sicurezza in vista per Mac OS X

Questo articolo vi arriva grazie alle gentili donazioni di “miecchi” e “mario.az****”.


Image credit: Steve Cooper

Secunia ha annunciato la presenza di varie falle “altamente critiche” in Mac OS X, che potrebbero consentire l’accesso da remoto al sistema operativo anche se sono stati installati tutti gli aggiornamenti di sicurezza e i rimedi provvisori suggeriti da Apple.

Le falle, scoperte da Tom Ferris, permettono a file ZIP, HTML, BMP, TIFF e GIF di essere veicoli di attacco, specialmente se si usa il browser Safari o il visualizzatore Anteprima.

La soluzione, in attesa dell’aggiornamento di sicurezza da Apple, è un imbarazzante “non visitate siti non fidati e non aprite file ZIP o immagini provenienti da fonti non fidate”. Non si ha notizia, per ora, di siti o virus che sfruttino queste falle, ma è soltanto questione di tempo.

Stando a Tom Ferris, è più rischioso usare Safari che Firefox sul Mac per via di queste falle, che gli risulta verranno corrette nel prossimo aggiornamento di sicurezza di Mac OS X.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ci risiamo, immagini di nuovo a rischio per chi usa Windows. Pronta la patch

Ci risiamo, immagini di nuovo a rischio per chi usa Windows. Pronta la patch

Questo articolo vi arriva grazie alle gentili donazioni di “alecorcella”, “kurotogane” e “fizzoni”.

La eEye Digital Security ha scoperto una falla di Windows Media Player che consente di prendere il controllo di un PC Windows usando semplicemente un’immagine. No, questa notizia non è un doppione: stavolta il formato d’immagine a rischio non è il vetusto WMF che ha causato il panico ai primi di gennaio 2006, ma il più diffuso BMP.

Secondo l’annuncio di eEye, la falla è costituita da un buffer non controllato presente nel codice di Windows Media Player, dalle versioni 7.1 alla 10, per Windows NT, Windows 2000 SP4, Windows XP con Service Pack 1 e 2, e Windows 2003.

Per sfruttare la falla è sufficiente confezionare un’immagine in formato BMP e darla in pasto a Windows Media Player, oppure confezionare un documento, per esempio con Word, immettendovi un’immagine in formato WMP (Windows Media Player). Securityfocus indica anche la possibilità di usare una skin di Media Player.

Se l’utente ha privilegi di amministratore (la norma, purtroppo, in Windows), la falla consente all’aggressore di prendere completamente il controllo del computer della vittima: installare programmi e vedere, cambiare o cancellare dati, per esempio.

Microsoft ha pubblicato la patch (aggiornamento) che ripara questa falla e varie altre, documentate dal bollettino Microsoft di febbraio. Una di queste altre falle, come quella BMP, è considerata “critica” e riguarda Internet Explorer; le altre cinque sono classificate come “importanti”.

È ovviamente consigliabile scaricare e installare subito questi aggiornamenti di sicurezza, usando la normale funzione Windows Update.

eEye segnala inoltre che ci sono ancora tre falle aperte riguardanti il software Microsoft: due di esse sono ad alto rischio, e la più vecchia attende di essere rimediata da 225 giorni. Zio Bill non è l’unico a prendersela un po’ troppo comoda: eEye nota che il software di Real Networks, per esempio, ha due falle in attesa di rattoppo rispettivamente da 30 e 16 giorni.

Punto Informatico, inoltre, segnala la scoperta tutta italiana di un’altra vulnerabilità grave in Windows, che non viene risolta dalle patch Microsoft più recenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Malware per Mac, meglio disabilitare Java

Questo articolo vi arriva grazie alla gentile donazione di “sylb”. L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2012/04/04.

Macworld segnala una variante del trojan Flashback che si può installare in un Mac anche senza chiedere la password di amministratore, sfruttando una vulnerabilità di Java, come descritto qui da F-Secure. Per infettarsi può essere sufficiente visitare un sito ostile, che fa partire un finto aggiornamento di OS X o di Flash.

Apple non ha ancora rilasciato l’aggiornamento che risolve il problema, e questo non è l’unico attacco per Mac che si basa sulle falle di Java, come ho raccontato qui per la RSI qualche giorno fa. In attesa dell’aggiornamento che corregga la falla è quindi consigliabile disabilitare Java (da non confondere con Javascript) nei browser.

  • In Safari basta andare nelle Preferenze, scegliere la scheda Sicurezza e togliere il segno di spunta dalla casella Abilita Java.
  • Per Firefox si va nel menu Strumenti, si sceglie Add-ons (Componenti aggiuntivi) e poi Plugin, cliccando su Disattiva accanto alla voce Java Plug-in.
  • Per Chrome, mi risulta che Java sia disabilitato per default e venga chiesto il consenso dell’utente se il sito visitato richiede Java, per cui non occorre fare nulla se non usare la testa. 

Più in generale, visto che Java si sta rivelando un colabrodo in termini di sicurezza e che i siti che lo usano sono pochi, vale la pena di valutare se è il caso di rimuovere Java del tutto oppure tenerlo sempre disabilitato, attivandolo solo se strettamente necessario e solo sui siti affidabili. Le istruzioni per rimuovere Java da OS X Lion sono qui. Per verificare se per caso un Mac è già infettato si può eseguire questa serie di istruzioni di test.

Questa storia dovrebbe chiarire, una volta per tutte, che anche i computer Apple sono vulnerabili semplicemente visitando un sito se non si prendono le precauzioni opportune. Fra l’altro, vale la pena di ricordare che è buona norma usare un antivirus anche per Mac, come per esempio quello gratuito di Sophos.

2012/04/04

Apple ha rilasciato un aggiornamento: i dettagli sono in questo mio articolo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.