Homepage > Notizia

Sophos: Siri porta d’accesso per gli hacker,

Un bug consente di aggirare la funzione blocca schermo e di accedere ai dati dell’utente sotto attacco.

Autore: Redazione BitCity

Pubblicato il: 23/10/2015

La battaglia per la sicurezza non conosce tregua. Hacker e produttori di device si sfidano a colpi di sistemi di protezione sempre più aggiornati e di altrettanto sofisticate modalità di cyber-attacco. A volte, alcuni “difetti di fabbrica” imprevisti e indesiderati fanno pendere la bilancia dalla parte dei cyber-criminali, e a farne le spese sono gli utenti.
Tra le vittime di questi “danni collaterali” anche gli utenti Apple, i cui dati sono minacciati da un nuovo bug che colpisce i sistemi operativi iOS 9 e iOS 9.0.1. su iPhone, iPad e iPod. La falla nella sicurezza degli iDevice è stata scoperta da un hacker ad appena una settimana dal lancio iOS 9, avvenuto il 16 settembre. 
Sophos ha spiegato sul suo blog Nakedsecurity come funziona il bug e cosa possono fare gli utenti per proteggere i dati personali contenuti sui propri iDevice. Il bug aggira la funzione blocca-schermo inserendo una serie di codici Pin errati e chiedendo poi a Siri, l’assistente digitale presente nei dispositivi iOS, di lanciare la app sveglia. Questa app appare al device come un fattore di rischio molto basso, anche perché lo schermo mostra sempre la data e l’ora anche quando è bloccato, ma l’hacker a questo punto può servirsi di alcuni trucchi per accedere ad iMessage, e da qui ai contatti e ai messaggi dell’utente sotto attacco. Il bersaglio potrebbe sentirsi al sicuro perché ha attivato l’impostazione Touch ID, che richiede una verifica dell’impronta digitale prima di consentire l’accesso al device. Tuttavia, Touch ID è una falsa sicurezza: quando lo si imposta, iOS richiede anche una password ed è sempre possibile ignorare la verifica dell’impronta digitale optando per l’inserimento del codice Pin scelto in precedenza. Ed è in questo preciso momento che entra in funzione il bug. 
Oltre a poter accedere e divulgare i selfie e i contenuti multimediali dei bersagli, un hacker può sfruttare questo bug per entrare in iMessage e inviare messaggi ai loro contatti. In questo modo, gli utenti rischiano di subire truffe, rapine informatiche, password phishing e ogni sorta di pratiche di ingegneria sociale, che possono costare centinaia o migliaia di euro ai malcapitati.
 A scoprire questo pericoloso bug è stato José Rodriguez, che ha pubblicato su Twitter un video in cui ne illustra l’esatto funzionamento. Le ragioni del buco nel sistema di sicurezza Apple risiedono in parte nella possibilità di accedere a Siri anche con lo schermo bloccato.
Sophos aveva già riscontrato numerosi problemi di sicurezza nelle precedenti versioni di iOS in cui Siri consentiva l’accesso senza prima richiedere un codice Pin. Bloccare lo schermo ma consentire l’accesso a Siri è come chiudere la porta di casa a doppia mandata lasciando spalancato lo sportello per il cane. Il modo migliore per proteggere il proprio dispositivo, dunque, è ridurre al massimo la superficie aggredibile, disabilitando Siri quando si attiva la funzione blocca-schermo.
Per farlo, occorre entrare nelle impostazioni del device, selezionare Touch ID & PasscodeConsenti l’accesso quando lo schermo è bloccato e mettere Siri in modalità Off.
Per rafforzare ulteriormente la protezione del proprio device, ci sono altre impostazioni che è utile considerare:
1)      Richiedi Password: settare su Immediatamente
2)      Selezionare Off su ogni voce possibile sotto la funzione Consenti l’accesso quando lo schermo è bloccato
3)      Abilitare la funzione Cancella Dati dopo 10 tentativi di accesso con Pin fallitiInfine, il metodo più drastico è disabilitare completamente Siri. È possibile farlo accedendo alle impostazioni generali e selezionando Off accanto alla voce Siri.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.

Tag:

Notizie che potrebbero interessarti: