[blogo-video provider_video_id=”2e0Z5tQfhKM” provider=”youtube” title=”Patched Security Flaw Exposed All Developer Personal Information” thumb=”” url=”http://www.youtube.com/watch?v=2e0Z5tQfhKM”]
Pensavamo di averla scampata con il bug Heartbleed che ha fatto tremare mezza Internet, ma per un baco che si risolve, un altro balza agli onori della cronaca. E di solito, non è mai una buona notizia. Stavolta, Apple è finita nel mirino degli esperti di sicurezza per una grave violazione che è avvenuta sul suo sito e che ha esposto i dati sensibili di tutti gli sviluppatori iOS, OS X e Safari, di ogni impiegato Retail e corporate, e perfino di alcuni partner chiave, ponendoli alla mercé dei malintenzionati.
“Immaginate la nostra sorpresa,” scrive 9to5Mac che per prima ha pubblicato la notizia, “quando la mail di un perfetto estraneo conteneva tutte le informazioni personali -compreso il numero di cellulare- di diversi membri del nostro staff.” L’altra sera, il Developer Center di Cupertino è rimasto offline per qualche ora, ufficialmente per normale manutenzione; in realtà, gli ingegneri stava correggendo una grave falla che permetteva a chiunque di accedere ai dati personali degli impiegati e degli sviluppatori Apple. La scoperta è stata fatta da Jesse Järvi:
Järvi ci ha mostrato come sfruttare Radar, un’applicazione interna di Apple usata dagli impiegati per gestire i report di bug e inviarli al bug tracker, e per entrare in contatto con gli sviluppatori Apple registrati, anche quelli nel programma gratuito Safari.
La prima cosa da fare per sfruttare il buco è scaricare Radar. Il programma richiede un Apple ID per funzionare, e quell’ID deve essere compreso nella lista degli impiegati che hanno accesso all’app; l’immissione di login non valide fa sì che il programma vi butti fuori, ma questo non vi impedirà di accedere agli altri strumenti contenuti all’interno del software, compresa la funzione di ricerca delle persone.
Basta avviare una ricerca nella directory immettendo qualunque informazione, tipo none, numero di telefono, indirizzo mail, e l’app darà subito i risultati richiesti. Non serve nessuna autenticazione.
In seguito alla segnalazione inoltrata a Cupertino, la mela ha subito chiuso i rubinetti e ritirato l’applicazione Radar dal sito Web. Il bug è stato prontamente risolto, per fortuna, ma tutto un po’ in sordina; al momento della stesura di questo post, infatti, non è stato diramato alcun comunicato stampa a riguardo.
Di recente, Apple è finita sotto torchio per via della gestione degli aggiornamenti; spesso, infatti, passa parecchio tempo tra gli update dedicati ad iOS e quelli per OS X. E in tali intervalli, gli utenti sono esposti a falle non ancora corrette ma già di dominio pubblico. Il software non è perfetto per definizione, ma chissà che questa défaillance non spinga la mela a rivedere un po’ le sue politiche sulla sicurezza.
- Non dimenticate di scaricare la Blogo App, per essere sempre aggiornati sui nostri contenuti. E’ disponibile su App Store e su Google Play ed è gratuita.