Nuova falla di sicurezza scoperta in Safari per iOS 5.1

Nuova falla di sicurezza scoperta in Safari per iOS

Nuova falla di sicurezza scoperta in Safari per iOS

E’ stato da poco scoperto che la versione del browser web Safari inclusa nel nuovo iOS 5.1 soffre di un bug di sicurezza molto grave. Quest’ultimo è vulnerabile alla tecnica chiamata “URL spoofing“, ovvero la visualizzazione di una pagina “fake” ma con l’indirizzo di quella corretta.

Questo sistema di “URL spoofing” è generalmente utilizzato dagli hacker per ottenere dati sensibili dagli utenti. Facciamo un esempio pratico: con il browser Safari del nuovo iPad entriamo nel sito della nostra banca e inseriamo i dati di accesso al conto come al solito, convinti che il sito sia quello corretto visto che l’URL è quello di sempre e non è cambiato. Gli hacker però, tramite un comando Javascript, potrebbero ottenere facilmente i dati di accesso sfruttando questa falla di sicurezza, creando magari un collegamento alla banca da un loro sito.

La tecnica di “URL Spoofing” è diversa da quella di phishing tradizionale: gli hacker infatti non hanno necessità di creare da zero un sito falso, ma è sufficiente un collegamento ipertestuale con codice Javascript maligno. L’azienda MajorSecurity ha scoperto questa falla e ha anche creato una pagina web di dimostrazione: basta accedervi con un qualsiasi dispositivo iOS (iPhone, iPad, iPod Touch) aggiornato a iOS 5.1 per avere un assaggio del problema.

Ci aspettiamo che i tecnici della casa di Cupertino abbiano già preso in considerazione l’esistenza di tale falla, e speriamo che al più presto venga rilasciato un aggiornamento che possa risolvere il tutto.

[Via]


2 Comments

  1. 2
    Lorenzo fongaro

    Questa falla e’ stata scoperta più di un mese fa… E non ci sono ancora notizie di un bug fix… Cosa aspettano???

Lascia un commento

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>