Vai al contenuto
Apple chiude 51 falle di sicurezza

Apple chiude 51 falle di sicurezza

Pioggia di aggiornamenti per i dispositivi Apple: il weekend potrebbe essere il momento ottimale per installarli. Risolvono una cinquantina di falle di sicurezza, spiegate in dettaglio nella pagina di supporto di Apple.

MacOS arriva alla versione 10.14.4 e iOS viene portato alla versione 12.2. Le falle riguardano principalmente il browser; ne spiccano inoltre due che avrebbero consentito a un’app iOS di accedere al microfono senza che comparisse l’indicatore di attività del microfono (CVE-2019-6222, CVE-2019-8566) e una (CVE-2019-8553) che avrebbe permesso di prendere il controllo di un dispositivo iOS convincendo il bersaglio a cliccare su un link in un SMS.

Un’altra falla, stavolta per MacOS, consentiva a un’app ostile di estrarre password dal gestore password dei Mac, ossia Keychain.

Come sempre, è importante aggiornare i propri dispositivi appena possibile, perché i criminali informatici non perdono tempo a creare nuovi attacchi che colpiscono chi non si aggiorna. Gli aggiornamenti si eseguono usando la solita procedura: su iPhone, Impostazioni – Generali – Aggiornamento Software; su Mac, clic sul menu Apple – Informazioni su – Aggiornamento software.



Fonte aggiuntiva: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Apple fa il gendarme per la privacy bloccando app di Google e Facebook; come sapere se avete app ficcanaso

Apple fa il gendarme per la privacy bloccando app di Google e Facebook; come sapere se avete app ficcanaso

Fonte: Apple.

Ultimo aggiornamento: 2019/02/01 15:00.

Facebook è stata colta da Apple a usare un trucco per eludere i controlli presenti nell’App Store: per consentire agli utenti di installare sui propri iPhone un’app ficcanaso non approvata da Apple, come ho raccontato qui, l’azienda di Zuckerberg ha usato un sistema denominato Apple Developer Enterprise Program, che consente alle aziende e agli sviluppatori di distribuire e installare app per uso interno senza passare dall’App Store.

Questa tecnica si basa sull’installazione di un profilo di configurazione e di un certificato digitale sui dispositivi degli utenti.

Usare questa tecnica non internamente a un’azienda ma verso gli utenti comuni è una palese violazione delle regole di Apple, e quindi Apple ha temporaneamente sospeso (e poi ripristinato) tutti i certificati di autorizzazione di Facebook.

Anche Google è stata colta a usare un trucchetto analogo per un’app di monitoraggio, Screenwise Meter, che offriva carte regalo in cambio del tracciamento delle attività online dei partecipanti. Apple ha bloccato anche l’app ficcanaso di Google, dimostrando così il proprio potere assoluto sui propri dispositivi.

Se volete controllare se il vostro iPhone, iPad o iPod touch (o quello dei vostri figli minorenni) è coinvolto in trucchetti pettegoli di questo genere, usati anche per installare app a scrocco di provenienza discutibile e potenzialmente pericolosa, seguite le istruzioni di Apple: per prima cosa occorre eliminare l’app ficcanaso. Poi bisogna andare in Impostazioni – Generali. Se non trovate una voce Gestione dispositivo (di solito è appena sotto la voce VPN), siete già a posto.

Se la trovate, cercate la sezione Profile management (o Gestione profilo) oppure Profile & Device Management (Gestione profilo e dispositivo) e toccate il profilo di configurazione dell’app: controllate che non sia richiesto per lavoro (per esempio perché si tratta di un dispositivo aziendale configurato tramite questo profilo) e, se non lo è, eliminatelo. Infine riavviate il vostro dispositivo.

Fonte aggiuntiva: Intego.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Rituale aggiornamento per tutti i dispositivi Apple

Rituale aggiornamento per tutti i dispositivi Apple

Avete appena installato gli aggiornamenti di sicurezza sul vostro Mac, iPad, iPhone, Apple Watch, Apple TV? Preparatevi a installare gli aggiornamenti degli aggiornamenti. Apple ha rilasciato infatti iOS 12.1, Safari 12.0.1, macOS (Mojave 10.14.1 e aggiornamenti per Sierra e High Sierra), watchOS 5.1, tvOS 12.1 e altro ancora.

Anche stavolta si tratta di correzioni e sistemazioni di falle di sicurezza, per cui non si tratta di aggiornamenti puramente estetici: installare macOS aggiornato, per esempio, significa turare ben 71 falle, 19 delle quali permettono di eseguire codice a piacimento (in altre parole, prendere il controllo del vostro Mac) e altre sei permettono di bloccarne il funzionamento (denial of service).

L’aggiornamento di iOS, invece, corregge 32 falle, alcune delle quali sono sfruttabili anche via Internet. Ne vedete un paio di esempi qui sotto: il primo è spiegato qui dai suoi scopritori. Quindi datevi da fare.

Fonte aggiuntiva: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Arriva iOS 12, con novità davvero utili

La nuova versione di iOS, la 12, ha moltissime novità; segnalo qui quelle più significative dal punto di vista della sicurezza.

Prima di tutto, immette automaticamente le password che si ricorda e avvisa se l’utente riusa la stessa password. Queste due funzioni sono sotto Impostazioni – Password e account, rispettivamente in Riempimento automatico e in Password app e siti web. Ora non solo non avete più scuse se usate la stessa password dappertutto: avete un dispositivo che vi ricorda che è una pessima idea farlo.

Un’altra novità importante è l’introduzione degli aggiornamenti automatici, utili per i pigri o per chi non si ricorda mai di farli e quindi rimane vulnerabile: questa funzione è sotto Impostazioni – Generali – Aggiornamenti automatici. Per evitare sorprese e interruzioni, gli aggiornamenti automatici verranno installati di notte e l’utente riceverà un avviso prima che inizi l’installazione, che comunque avverrà solo se il dispositivo è in carica e collegato al Wi-Fi.

Infine c’è una nuova funzione, Tempo di utilizzo (Screen time in inglese), che genera un resoconto del tempo speso realmente davanti allo schermo, indicando quali sono le app più mangiatempo e quante volte avete preso in mano il vostro telefono o tablet. Preparatevi: potrebbe essere una doccia di realtà imbarazzante. È possibile impostare dei limiti di tempo e proteggerli con un codice; questa sarà una gioia per i genitori stufi di tentare di schiodare i figli dal dispositivo che i genitori stessi hanno amorevolmente acquistato.

Se siete preoccupati che il vostro iCoso venga rallentato da iOS 12 o non lo possa installare perché è troppo vecchio, ho buone notizie: tutti i dispositivi che usano iOS 11 possono installare iOS 12 e non subiscono rallentamenti significativi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le censure danneggiano i dispositivi: la parola “Taiwan” impallava iOS

Le censure danneggiano i dispositivi: la parola “Taiwan” impallava iOS

Fonte: Objective-See.

Ultimo aggiornamento: 2018/07/14 17:30.

Nel tentativo di soddisfare le richieste di censura del governo cinese, Apple aveva introdotto nel proprio software un difetto che mandava in crash iOS se il dispositivo riceveva l’emoji della bandiera di Taiwan (🇹🇼) o l’utente digitava la parola “Taiwan”.

L’uso di questo simbolo e di questa parola è censurato in Cina, ma il difetto colpiva anche gli iPhone al di fuori della Cina se usavano la lingua e la localizzazione cinese nelle impostazioni, come raccontano Ars Technica e Wired.com.

Il difetto, classificato come CVE-2018-4290, è spiegato in dettaglio su Objective-See, ed è una conferma del fatto che nonostante le proprie dichiarazioni di voler tutelare gli utenti, Apple modifica il proprio software e si arrende eccome alle imposizioni di censura dei governi. Perlomeno dei governi che contano: si sa da tempo che i dati degli utenti Apple cinesi sono stati traslocati su server situati in Cina, e le VPN che consentono di eludere la censura sono state rimosse dall’App Store cinese. Ma questa è probabilmente la prima volta che si scopre che il sistema operativo di Apple è stato modificato, introducendo un difetto, per motivi di censura governativa.

La vicenda è un lucido promemoria per tutti quelli che pensano che sia facile infilare nel software filtri o misure di sorveglianza come misura antiterrorismo o per impedire le violazioni del diritto d’autore.

Il mercato cinese, segnala The Register, ha contribuito 13 miliardi di dollari alle casse di Apple nell’ultimo trimestre.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuova funzione di sicurezza di iOS si scavalca inserendo un accessorio. Venduto da Apple

Nuova funzione di sicurezza di iOS si scavalca inserendo un accessorio. Venduto da Apple

La nuova versione di iOS, la 11.4.1, uscita pochi giorni fa, introduce una misura di protezione molto importante che si chiama USB Restricted Mode e rende molto più difficile estrarre dati dall’iPhone, dall’iPad o dall’iPod touch senza il consenso del proprietario: è una tutela in più per chi custodisce dati sensibili sul proprio dispositivo.

Lo USB Restricted Mode è una risposta di Apple ai vari dispositivi, come per esempio GrayKey, che permettono di scavalcarne le protezioni e che vengono usati dagli inquirenti e (a volte) dai ladri professionisti per sbloccarne i contenuti senza conoscerne la password, collegandosi al connettore Lightning dell’iPhone/iPad/iPod.

La nuova protezione disattiva la trasmissione di dati attraverso questo connettore dopo un’ora dall’ultimo blocco di sicurezza del dispositivo e quindi impedisce l’intrusione. Trascorsa quest’ora, per trasferire dati bisogna digitare la password del dispositivo in questione.

In emergenza si può attivare questa protezione premendo il tasto di accensione cinque volte in rapida successione.

Purtroppo in alcuni paesi la differenza fra ladri, inquirenti e spie è piuttosto tenue, per cui è opportuno premunirsi anche per chi non ha nulla da nascondere ma ha qualcosa da proteggere, dai dati personali alle informazioni aziendali.

La nuova protezione viene spiegata da Apple in dettaglio in un’apposita pagina informativa. Per come viene descritta, sembrerebbe che gli aspiranti intrusi abbiano a disposizione soltanto un’ora dal momento in cui vi sottraggono l’iCoso al momento in cui lo consegnano all’esperto per sbloccarlo, e questo sembra molto rassicurante.

Ma i ricercatori della società di sicurezza Elcomsoft hanno scoperto che il cronometro che misura quest’ora può essere azzerato semplicemente collegando l’iCoso a qualunque dispositivo USB compatibile: fatto questo, l’iCoso resta privo di questa protezione indefinitamente. E procurarsi un dispositivo USB compatibile è facilissimo: ce ne sono vari in vendita nel negozio online di Apple. L’adattatore Lightning-USB 3 per fotocamere, per esempio, costa soltanto 39 dollari.

Insomma, la sicurezza degli iPhone/iPad/iPod touch è migliorata e funziona decentemente contro i ladri improvvisati, ma non è così magica e invulnerabile come potrebbe sembrare a prima vista. È meglio saperlo e regolarsi di conseguenza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il “pallino nero della morte” colpisce Mac e iCosi; aggiornateli

Il “pallino nero della morte” colpisce Mac e iCosi; aggiornateli

Sta circolando un nuovo messaggio che blocca i dispositivi iOS e anche i Mac: si basa sull’emoji del pallino nero (⚫), come dimostrato in questo video:

Il messaggio contiene moltissimi caratteri Unicode nascosti e invisibili, che fanno fare gli straordinari al processore nel tentativo di elaborarli e lo portano al sovraccarico, facendo spesso crashare il dispositivo. Apple ha rilasciato gli aggiornamenti correttivi la settimana scorsa: installateli e sarete al sicuro.



Fonti: 9to5mac, Intego.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ci risiamo: circola un nuovo messaggio che blocca WhatsApp

Ci risiamo: circola un nuovo messaggio che blocca WhatsApp

Credit: Sophos.

Circola un allarme per un messaggio che, se visualizzato da WhatsApp sia su Android, sia su iOS, porta alla paralisi l’applicazione e obbliga a riavviarla. Alcuni giornali dicono addirittura che il messaggio distrugge fisicamente i telefoni, ma non è vero: cosa non si fa per qualche clic pubblicitario.

Il messaggio riesce a mandare in crash WhatsApp perché contiene, oltre al testo normale, anche migliaia di caratteri di controllo che dicono “scrivi da sinistra a destra” e subito dopo “scrivi da destra a sinistra”, come richiesto per alcune lingue.

In attesa che venga rilasciato un aggiornamento di WhatsApp che corregga questa vulnerabilità, non fatevi prendere dal panico: se ricevete il messaggio (che può avere un testo qualsiasi, non solo quello indicato dagli articoli che lanciano l’allarme in modo esagerato), riavviate il telefono o l’app e cancellate il messaggio. Quando arriverà l’aggiornamento correttivo dell’app, installatelo subito.

Cosa più importante, non mandate questo messaggio ai vostri amici pensando che sia divertente. Non lo è, non vi fa diventare hacker e c’è il rischio che qualcuno vi denunci per danneggiamento e chieda risarcimenti per l’intervento di assistenza tecnica di ripristino dell’app, come è accaduto per il carattere telugu che bloccava i dispositivi iOS a febbraio scorso.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
iOS si aggiorna e risolve falla su codici QR

iOS si aggiorna e risolve falla su codici QR

L’app Fotocamera di iOS, dalla versione 11 del sistema operativo, è in grado di decodificare i codici QR: basta inquadrarli e compare il testo equivalente.

È una funzione molto comoda, per esempio per indicare un link complicato a un sito, ma ha un difettuccio: è possibile ingannare questa decodifica e farle visualizzare il nome di un sito innocuo mentre in realtà il link porta a un sito ostile.

Lo ha scoperto il ricercatore di sicurezza informatica Roman Mueller di Infosec. Ha creato un codice QR contenente questo URL:


https://xxx\@facebook.com:443@infosec.rm-it.de/

e lo ha mostrato alla Fotocamera di iOS, che lo ha decodificato e gli ha chiesto se voleva “aprire ‘facebook.com’ in Safari”.

Chiaramente questo errore di interpretazione sarebbe usabilissimo per un attacco informatico, per esempio per un furto di password: basta creare un codice QR che visualizzi il nome di un sito nel quale l’utente è abituato a immettere una password (per esempio Google o Instagram o, appunto, Facebook) ma che porti in realtà a un sito-clone, gestito dal ladro di password, che ha la stessa grafica del sito autentico. L’utente si fida di quello che gli ha mostrato iOS (il nome del sito autentico), non fa ulteriori controlli e così immette la propria password nel sito del truffatore, che se la porta via.

Un altro esempio ancora più semplice è un codice QR che porta a un sito che visualizza il famoso carattere in lingua telugu che blocca gli iPhone non pienamente aggiornati.

La falla dei codici QR è in circolazione da qualche mese, ma c’è una buona notizia: Apple l’ha finalmente corretta il 24 aprile scorso con la versione 11.3.1 di iOS (e anche con la versione 10.13.4 di macOS). Conviene quindi installare questo aggiornamento con la procedura consueta (dopo aver fatto una copia di backup dei propri dati, per sicurezza): Impostazioni – Generali – Aggiornamento software.

Fonte aggiuntiva: Intego.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Telegram alle strette rivela il rischio di avere dispositivi chiusi come gli iPhone

Telegram alle strette rivela il rischio di avere dispositivi chiusi come gli iPhone

Telegram è sotto attacco: la Russia lo accusa di favorire i terroristi dando loro un modo per comunicare senza essere sorvegliabili da parte delle autorità, ma il fondatore di Telegram, Pavel Durov, si rifiuta di dare alle autorità russe le chiavi di decrittazione dei messaggi degli utenti.

La sua argomentazione nel mettersi contro il volere di uno stato che ha dimostrato di non essere particolarmente tenero con chi non si adegua alle sue richieste è che consegnare le chiavi di decrittazione non avrebbe nessuna conseguenza utile per l’antiterrorismo: i terroristi non farebbero altro che spostarsi su un’altra app di messaggistica protetta.

Le autorità russe hanno reagito bloccando Telegram, ma Telegram ha trasferito i propri servizi sui cloud di Google e Amazon, per cui se le autorità vogliono bloccare Telegram dovrebbero bloccare tutto Google e tutto Amazon. Impraticabile, anche se la Russia attualmente ha bloccato circa 16 milioni di indirizzi IP, quasi tutti di Amazon Web Services e Google Cloud. Comunque gli utenti possono eludere il blocco.

Gli app store di Android (Google) e iOS (Apple) continuano ad ospitare l’app, ma BoingBoing coglie l’occasione per una riflessione di fondo: se Apple o Google cedono alle pressioni russe e bloccano l’app di Telegram, sarà molto difficile per gli utenti russi riuscire a procurarsela o ottenerne gli aggiornamenti.

Gli utenti Android dovranno solo attivare un’opzione del loro telefonino per installare Telegram da fonti alternative, ma gli utenti iOS dovranno fare i salti mortali (jailbreak) per fare altrettanto. È il difetto dei sistemi chiusi: creano un nuovo punto debole.

Fonte aggiuntiva: Sophos.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.