Semplice Mela di Sicurezza Hack: Se Hai Un iPhone E MacBook, non Guardare Ora
pochi giorni fa, Ho riportato su la rivelazione da parte di ricercatori di sicurezza Talal Haj Bakry e Tommy Mysk che gli appunti su iphone e ipad sono aperti allo sfruttamento da parte di “dannoso” apps su questi dispositivi, per “rubare” i dati copiati negli appunti. Apple ritiene che questa sia semplicemente la funzione di copia e incolla che funziona normalmente, ma sembra aprire una vulnerabilità di sicurezza che potrebbe sorprendere gli utenti.
Apparentemente, il rischio si estende oltre iPhone e iPad. I ricercatori sono ora tornati, dicendomi ” abbiamo accennato nel nostro articolo che gli Appunti universali possono anche essere influenzati da questa vulnerabilità per intercettare ciò che gli utenti copiano sui loro Mac.”E questo sarebbe un problema. Perché, mentre l’uso di copia e incolla potrebbe essere relativamente raro su un dispositivo iOS, è business as usual di tutti i giorni su un Mac.
Il rischio sorge perché, come spiega Apple, è possibile utilizzare gli Appunti universali ” per copiare e incollare tra i dispositivi Apple: è possibile copiare contenuti come testo, immagini, foto e video su un dispositivo Apple, quindi incollare il contenuto su un altro.”
“Abbiamo ricevuto molte richieste su questo punto”, mi hanno detto i ricercatori il 26 febbraio, ” quindi abbiamo aggiunto un video che illustra come un’app per iPhone o iPad può origliare negli appunti su Mac.”Ecco quel video:
“Lo abbiamo presentato ad Apple il 2 gennaio 2020”, hanno spiegato i ricercatori nel loro blog originale. “Dopo aver analizzato la presentazione, Apple ci ha informato che non vedono un problema con questa vulnerabilità.”Ho contattato Apple per ulteriori commenti.
Il rischio richiede un’app in primo piano sul dispositivo iOS. I ricercatori “hanno aumentato la probabilità che l’app possa leggere il tabellone” creando un widget nella vista Oggi”, espandendo quindi la finestra della vulnerabilità.”
Il blog stesso si concentra sul rischio che un attore malintenzionato possa creare un’app per spiare gli appunti e quindi accedere ai metadati allegati a una foto scattata sul dispositivo. Come ha spiegato Sophos, ” un’app dannosa potrebbe sfruttarla per calcolare la posizione di un utente anche quando l’utente ha bloccato la condivisione della posizione dell’app.”Tuttavia, il rischio che i dati copiati su un Mac possano essere fiutati da un’app dannosa su un dispositivo iOS collegato sembra più un problema dal punto di vista dell’exploit.
Il consiglio ad Apple da parte dei ricercatori rimane lo stesso: rimuovere l’accesso illimitato agli appunti—le impostazioni di privacy nelle ultime versioni di iOS potrebbero includere un’impostazione per concedere l’accesso agli appunti da app. Oppure, in alternativa, limitare l’accesso agli appunti a ” quando l’utente esegue attivamente un’operazione di incolla.”
Come ho detto nel mio rapporto originale, questo è solo un potenziale buco di sicurezza senza alcuna pretesa che sia stato sfruttato in natura. “ma, con gruppi di minacce sponsorizzati dallo stato e reti criminali organizzate che attaccano i sistemi operativi come una questione di routine, qualsiasi potenziale difetto fornisce un punto di partenza per un exploit.”La mia scommessa rimane che Apple affronterà questo in una versione futura e patchare questo buco.
Seguimi su Twitter o LinkedIn.