La battaglia per la sicurezza non conosce tregua. Hacker e produttori di device si sfidano a colpi di sistemi di protezione sempre più aggiornati e di altrettanto
sofisticate modalità di cyber-attacco. A volte, alcuni “difetti di fabbrica” imprevisti e indesiderati fanno pendere la bilancia dalla parte dei cyber-criminali, e a farne le spese sono gli utenti.
Tra le vittime di questi “danni collaterali” anche gli utenti
Apple, i cui dati sono minacciati da un nuovo bug che colpisce i sistemi operativi
iOS 9 e iOS 9.0.1. su iPhone, iPad e iPod. La falla nella sicurezza degli iDevice è stata scoperta da un hacker ad appena una settimana dal lancio iOS 9, avvenuto il 16 settembre.
Sophos ha spiegato sul suo blog
Nakedsecurity come funziona il bug e cosa possono fare gli utenti per proteggere i dati personali contenuti sui propri iDevice. Il bug aggira la funzione blocca-schermo inserendo
una serie di codici Pin errati e chiedendo poi a Siri, l’assistente digitale presente nei dispositivi iOS, di lanciare la app sveglia. Questa app appare al device come un fattore di rischio molto basso, anche perché lo schermo mostra sempre la data e l’ora anche quando è bloccato, ma l’hacker a questo punto può servirsi di alcuni trucchi per accedere ad
iMessage, e da qui ai contatti e ai messaggi dell’utente sotto attacco. Il bersaglio potrebbe sentirsi al sicuro perché ha attivato l’impostazione
Touch ID, che richiede una verifica dell’impronta digitale prima di consentire l’accesso al device. Tuttavia, Touch ID è una falsa sicurezza: quando lo si imposta, iOS richiede anche una password ed è sempre possibile ignorare la verifica dell’impronta digitale optando per l’inserimento del
codice Pin scelto in precedenza. Ed è in questo preciso momento che entra in funzione il bug.
Oltre a poter accedere e divulgare i selfie e i contenuti multimediali dei bersagli, un hacker può sfruttare questo bug per entrare in iMessage e
inviare messaggi ai loro contatti. In questo modo, gli utenti rischiano di subire truffe, rapine informatiche, password phishing e ogni sorta di pratiche di ingegneria sociale, che possono costare centinaia o migliaia di euro ai malcapitati.
A scoprire questo pericoloso bug è stato
José Rodriguez, che ha pubblicato su Twitter un video in cui ne illustra l’esatto funzionamento. Le ragioni del buco nel sistema di sicurezza Apple risiedono in parte nella possibilità di accedere a Siri anche con lo schermo bloccato.
Sophos aveva già riscontrato numerosi problemi di sicurezza nelle
precedenti versioni di iOS in cui Siri consentiva l’accesso senza prima richiedere un codice Pin. Bloccare lo schermo ma consentire l’accesso a Siri è come chiudere la porta di casa a doppia mandata lasciando spalancato lo sportello per il cane. Il modo migliore per proteggere il proprio dispositivo, dunque, è ridurre al massimo la superficie aggredibile, disabilitando Siri quando si attiva la funzione blocca-schermo.
Per farlo, occorre entrare nelle impostazioni del device, selezionare
Touch ID & Passcode –
Consenti l’accesso quando lo schermo è bloccato e mettere Siri in modalità
Off.
Per rafforzare ulteriormente la protezione del proprio device, ci sono altre impostazioni che è utile considerare:
1)
Richiedi Password: settare su
Immediatamente
2) Selezionare
Off su ogni voce possibile sotto la funzione
Consenti l’accesso quando lo schermo è bloccato
3) Abilitare la funzione
Cancella Dati dopo 10 tentativi di accesso con Pin fallitiInfine, il metodo più drastico è disabilitare completamente Siri. È possibile farlo accedendo alle impostazioni generali e selezionando Off accanto alla voce Siri.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.