Aggiornamenti recenti Aprile 14th, 2026 4:46 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Donne e cybersecurity: crescono le nuove leve e alcune sfide
- Social media vietati ai minori? In Australia non sta funzionando
- CPUID compromesso: malware nei download ufficiali di CPU-Z e HWMonitor
- Claude Mythos: secretato perché troppo bravo a scovare vulnerabilità
- APT28 colpisce i router per dirottare il DNS e rubare credenziali
Bug nella funzione “avvisami” dell’App Store, in arrivo la patch
Il sistema di notifica per la disponibilità delle nuove app permette di portare un attacco a qualsiasi dispositivo. Tra qualche giorno l’aggiornamento che tappa la falla.
Ancora dubbi sulla validità del sistema di bug bounty? Se avete bisogno di una dimostrazione (l’ennesima) della bontà del sistema basta chiedere dalle parti di Cupertino.
Gli sviluppatori di iOS, infatti, devono ringraziare il programma di bug bounty e, nello specifico, Benjamin Kunz Mejri di Vulnerability Lab per aver individuato una serie di bug nella funzione di notifica dell’App Store.
La funzione Avvisami, introdotta lo scorso novembre, consente agli utenti di ricevere un messaggio su iCloud Mail quando diventava disponibile un’app che gli interessava.
Nelle intenzioni degli sviluppatori, rappresenterebbe un buon sistema per creare una “aspettativa” nei confronti delle applicazioni in via di sviluppo.
Peccato che l’uso combinato di alcune falle di sicurezza consente a un pirata informatico di sfruttare questo sistema per portare un attacco nei confronti di un qualsiasi dispositivo.
Ansiosi di mettere le mani su un’app in arrivo? Potete usare la funzione “avvisami” per avere una notifica quando è disponibile o… usarla per attaccare un dispositivo iOS.
La tecnica di attacco individuata da Mejri è piuttosto semplice: al pirata informatico è sufficiente utilizzare iTunes per chiedere di ricevere un avviso quando l’app che gli interessa è disponibile per l’acquisto.
Nel corso della procedura, iTunes registra il nome del dispositivo e il contatto iCloud. Qui entra in gioco la prima vulnerabilità, che consente al pirata di inserire uno script malevolo al posto del nome del dispositivo e fare in modo, quindi, che questo venga recapitato con l’email di notifica.
La seconda falla riguarda proprio l’inserimento dell’indirizzo di posta: Mejri si è infatti accorto che è possibile inserire l’indirizzo di qualsiasi utente senza che a questi sia chiesta una conferma.
Risultato: l’email di notifica contenente lo script malevolo viene inviata da Apple (sigh!) alla vittima. E qui entra in gioco il terzo bug: quando il messaggio viene aperto, lo script viene eseguito sul dispositivo.
Stando al report pubblicato da Vulnerability Lab, Apple dovrebbe pubblicare la patch che corregge la vulnerabilità il prossimo 28 gennaio. Nel frattempo, meglio evitare di aprire email che provengono dagli indirizzi *@new.itunes.com.
Condividi l'articolo
Il trojan Carbanak ora sfrutta Google per nascondersi
Allarme per i sistemi Windows: ancora gli Shadow Brokers
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un... -
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su... -
Vertex AI e il rischio dei “double agent” AI Un recente studio della Unit 42 di Palo Alto ha messo in... -
Vibecoding: l’AI accelera lo sviluppo ma moltiplica i... Il concetto di vibecoding – ovvero la generazione di... -
AWS Bedrock: otto vettori che trasformano l’AI in un... Man mano che il tempo passa, i ricercatori di sicurezza...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Donne e cybersecurity: crescono le nuove leve e alcune La cybersecurity italiana continua a crescere, ma la... -
Social media vietati ai minori? In Australia non sta... Qualcuno ricorderà che qualche mese fa è stato annunciato... -
CPUID compromesso: malware nei download ufficiali di CPU-Z... Un attacco alla catena di distribuzione ha colpito il... -
Claude Mythos: secretato perché troppo bravo a scovare... L’annuncio di Anthropic sembrerebbe una trovata di... -
APT28 colpisce i router per dirottare il DNS e rubare... Secondo un’analisi pubblicata dal National Cyber Security...
Ransomware: la serie
No posts found.