Apple alle prese con una brutta falla in iOS 7 e Mac OS X

C’è una brutta falla di sicurezza in iOS 7 ed in Mac OS X. Il problema riguarda l’implementazione del protocollo SSL/TLS nei sistemi operativi di casa Apple. TLS ed il predecessore SSL sono protocolli crittografici che hanno come obiettivo quello di garantire una comunicazione sicura tra client e server puntando anche sull’integrità dei dati. Durante l’effettuazione di una connessione cifrata HTTPS, ad esempio, un aggressore può sfruttare la falla presente in iOS 7 ed in Mac OS X per sferrare un attacco “man-in-the-middle“: egli può cioè frapporsi tra il sistema client ed il server, intercettare il traffico e modificare i dati in transito in tempo reale. Si pensi alla possibilità di modificare il testo di un’e-mail, alterandone i link presenti; di sottrarre informazioni sensibili, numeri di carte di credito e password.

Matthew D. Green, docente presso il Johns Hopkins Information Security Institute, è molto critico e descrive la vulnerabilità scoperta nei sistemi operativi di Apple come un brutto scivolone per la società della Mela. Una falla che viene descritta come estremamente pericolosa, facilmente sfruttabile all’atto pratico da parte degli aggressori.
Ha rincarato la dose Adam Langley che in Google si occupa di problemi legati alla sicurezza. Secondo l’esperto, l’errore sarebbe davvero grave seppur commesso in buona fede.

Nel caso di iOS 7, fortunatamente, Apple ha già provveduto a distribuire un aggiornamento risolutivo: la versione 7.0.6 del sistema operativo Apple per i dispositivi mobili consente di mettersi alle spalle la pericolosa lacuna di sicurezza (vedere questa pagina).

Al momento, invece, non esiste ancora una soluzione destinata agli utenti di Mac OS X “Mavericks” – versione del sistema operativo che sembra essere egualmente affetta dal problema –. I tecnici di Apple starebbero già lavorando per sistemare la falla che, nel caso di Mac OS X, riguarderebbe però solo l’utilizzo di connessioni HTTPS su IP (esempio: https://31.13.64.81) e non su dominio (esempio: https://www.facebook.com).

Per maggiori informazioni sul protocollo SSL/TLS e sull’utilizzo dei certificati digitali, suggeriamo la lettura dell’articolo Certificati digitali SSL gratuiti: a cosa servono e come ottenerne uno in pochi minuti e I certificati digitali e gli attacchi subiti dalle autorità di certificazione: l’accaduto e le difese da porre in campo.