Aggiornamenti recenti Novembre 6th, 2025 2:27 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Appalti nel settore cyber, premi a chi sceglie le soluzioni di Paesi NATO e terzi. Tra questi anche Israele
- Scoperte nuove vulnerabilità di ChatGPT che portano a leak di dati
- In aumento gli attacchi alle applicazioni pubbliche, calano i ransomware: il report di Cisco Talos
- Il 25% dei leader aziendali italiani non comprende l’importanza della cybersecurity
- CERT-AGID 25–31 ottobre: PagoPA, ministeri e università nel mirino del phishing
Bug nella funzione “avvisami” dell’App Store, in arrivo la patch
Il sistema di notifica per la disponibilità delle nuove app permette di portare un attacco a qualsiasi dispositivo. Tra qualche giorno l’aggiornamento che tappa la falla.
Ancora dubbi sulla validità del sistema di bug bounty? Se avete bisogno di una dimostrazione (l’ennesima) della bontà del sistema basta chiedere dalle parti di Cupertino.
Gli sviluppatori di iOS, infatti, devono ringraziare il programma di bug bounty e, nello specifico, Benjamin Kunz Mejri di Vulnerability Lab per aver individuato una serie di bug nella funzione di notifica dell’App Store.
La funzione Avvisami, introdotta lo scorso novembre, consente agli utenti di ricevere un messaggio su iCloud Mail quando diventava disponibile un’app che gli interessava.
Nelle intenzioni degli sviluppatori, rappresenterebbe un buon sistema per creare una “aspettativa” nei confronti delle applicazioni in via di sviluppo.
Peccato che l’uso combinato di alcune falle di sicurezza consente a un pirata informatico di sfruttare questo sistema per portare un attacco nei confronti di un qualsiasi dispositivo.
Ansiosi di mettere le mani su un’app in arrivo? Potete usare la funzione “avvisami” per avere una notifica quando è disponibile o… usarla per attaccare un dispositivo iOS.
La tecnica di attacco individuata da Mejri è piuttosto semplice: al pirata informatico è sufficiente utilizzare iTunes per chiedere di ricevere un avviso quando l’app che gli interessa è disponibile per l’acquisto.
Nel corso della procedura, iTunes registra il nome del dispositivo e il contatto iCloud. Qui entra in gioco la prima vulnerabilità, che consente al pirata di inserire uno script malevolo al posto del nome del dispositivo e fare in modo, quindi, che questo venga recapitato con l’email di notifica.
La seconda falla riguarda proprio l’inserimento dell’indirizzo di posta: Mejri si è infatti accorto che è possibile inserire l’indirizzo di qualsiasi utente senza che a questi sia chiesta una conferma.
Risultato: l’email di notifica contenente lo script malevolo viene inviata da Apple (sigh!) alla vittima. E qui entra in gioco il terzo bug: quando il messaggio viene aperto, lo script viene eseguito sul dispositivo.
Stando al report pubblicato da Vulnerability Lab, Apple dovrebbe pubblicare la patch che corregge la vulnerabilità il prossimo 28 gennaio. Nel frattempo, meglio evitare di aprire email che provengono dagli indirizzi *@new.itunes.com.
Condividi l'articolo
Il trojan Carbanak ora sfrutta Google per nascondersi
Allarme per i sistemi Windows: ancora gli Shadow Brokers
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Scoperte nuove vulnerabilità di ChatGPT che portano a leak... I ricercatori di Tenable Research hanno scoperto nuove... -
In aumento gli attacchi alle applicazioni pubbliche, calano... Stando all’ultimo report sulle minacce di Cisco... -
Il 25% dei leader aziendali italiani non comprende... Il nuovo report di Kaspersky, “Real talk on... -
Il codice generato da IA pone molti rischi di sicurezza L’IA è un ottimo strumento per scrivere codice... -
TEE.Fail, l’attacco che accede all’ambiente di... Un gruppo di ricercatori della Gerogia Tech University e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Appalti nel settore cyber, premi a chi sceglie le soluzioni... Ci sono importanti novità nel settore degli appalti cyber:... -
Scoperte nuove vulnerabilità di ChatGPT che portano a leak... I ricercatori di Tenable Research hanno scoperto nuove...
-
In aumento gli attacchi alle applicazioni pubbliche, calano... Stando all’ultimo report sulle minacce di Cisco...
-
Il 25% dei leader aziendali italiani non comprende... Il nuovo report di Kaspersky, “Real talk on...
-
CERT-AGID 25–31 ottobre: PagoPA, ministeri e università... Nel periodo compreso tra il 25 e il 31 ottobre,...
Ransomware: la serie
No posts found.