Categories: NewsNewsletter

La sandbox non salva iOS – Wandera e C.H. Ostfeld hanno la risposta

I ricercatori di  tre università hanno scoperto sette classi di vulnerabilità nella funzionalità sandbox del sistema operativo iOS di Apple, che se sfruttati potrebbe consentire a malintenzionati di  lanciare una serie di attacchi che metterebbero a rischio  i dati e la privacy degli utenti iPhone o iPad.

Questa sandbox utilizza un profilo, che Apple definisce come un “container”, che funge da interfaccia per le applicazioni di terze parti, concedendo delle autorizzazioni per le azioni che possono intraprendere  e a quali dati possono accedere.
Tuttavia, gli accademici presso la North Carolina State University, la tedesca Technische Universitat Darmstadt e della rumena University Politehnica of Bucharest hanno annunciato che hanno trovato difetti nel codice del sandbox che potrebbe consentire a sviluppatori di terze parti senza scrupoli di eseguire azioni non autorizzate sui dispositivi iOS.
In particolare, gli aggressori potrebbero sfruttare le vulnerabilità per bypassare le impostazioni di privacy dei  contatti, cercare lo storico della localizzazione, accedere a metadati del file system, ottenere le informazioni sullo spazio di archiviazione su disco, bloccare l’accesso alle risorse di sistema e consentire alle applicazioni di condividere le informazioni con gli altri senza permesso. Un comunicato stampa  della North Carolina State University afferma che riguardano “i dispositivi che eseguono nonjailbroken successive alle versioni di iOS 9.0.2 – tra cui, la versione che ha subito lo studio.

“Molte persone pensano che il sistema operativo chiuso di Apple sia più sicuro del sistema Android aperto”, ha detto Ahmad-Reza Sadeghi, un altro ricercatore e professore di informatica presso la Technische Universitat Darmstadt, in un comunicato stampa dell’università. Per verificare la validità di questa teoria, i ricercatori hanno deciso di dare un’occhiata più da vicino ad una delle caratteristiche chiave della sicurezza in iOS: sandbox. “Il nostro obiettivo era di vedere se si poteva automatizzare il rilevamento delle vulnerabilità di sicurezza”, ha detto Sadeghi.

Per fare questo, i ricercatori hanno creato un processo chiamato “SandScout” in modo da poter eseguire una serie di query automatiche sulla codifica, cercando potenziali scenari di abusi.

I ricercatori approfondiranno le vulnerabilità più in dettaglio in un prossimo documento di ricerca accademica, “SandScout: Automatic Detection of Flaws in iOS Sandbox Profiles”, che è previsto in uscita nel corso della ACM Conference on Computer and Communications Security, che si terrà a Vienna dal 24-28 ottobre.

Fino ad allora, i ricercatori non comunicheranno alcuni dettagli chiave mentre Apple lavora per affrontare i problemi. Secondo i ricercatori, sono stati attivamente impegnati con Apple e si aspettano che l’azienda emetterà una  patch di sicurezza. “Sperano di avere molti di questi problemi risolti con  iOS 10”, ha detto Enck. “Non siamo stati in grado di rivedere ancora le correzioni, ma abbiamo avuto discussioni con loro. Sembra che alcune non saranno completamente  messe a posto nella 10, ma sono consapevoli del problema “.

Wandera:  la risposta ai vostri problemi di mobilità aziendale

I dispositivi mobili sono degli strumenti incredibili per la produttività aziendale. Come si vede però, dando ai dipendenti tali  strumenti,  vengono introdotti anche dei rischi. Oltre a quello di cui si parla sopra,  i dati sensibili possono essere persi o rubati, i dipendenti possono abusare dei dispositivi e i costi possono andare fuori controllo. Di qui la necessità di soluzioni come Wandera che  offre un servizio in cloud per la gestione e sicurezza dei dati mobili.

Scarica la documentazione di Wandera

Download “Wandera_Overview_Italian.pdf” Wandera_Overview_Italian.pdf – Scaricato 799 volte – 3 MB

Fonte: SC Magazine

Alessandra Bellotti

Comments are closed.

Recent Posts

Identificazione e protezione dei dati sensibili nel contesto odierno delle minacce digitali

In un'era digitale in cui le violazioni dei dati non sono più una questione di “se” ma di “quando”, è…

1 settimana ago

KeeperPAM®: la rivoluzione nella gestione degli accessi privilegiati

Secondo il Data Breach Investigations Report di Verizon del 2024, il 75% degli attacchi informatici sfrutta credenziali con privilegi compromesse, confermando…

1 settimana ago

Le API di Lookout Mobile Intelligence possono potenziare la sicurezza degli endpoint

È innegabile che i dispositivi mobili siano diventati strumenti essenziali per i dipendenti: facilitano la comunicazione e aumentano la produttività,…

1 settimana ago

CMDB e ITAM: insieme per operazioni IT senza problemi

Con la tecnologia in continua evoluzione e gli ambienti IT sempre più complessi, garantire che l'infrastruttura rimanga allineata agli obiettivi…

1 settimana ago

Il vero costo di una violazione dei dati nel settore bancario e dei servizi finanziari

In un settore basato sulla fiducia, una violazione dei dati non è solo un fallimento tecnico, ma un rischio aziendale…

1 mese ago

Ottieni una maggiore visibilità sui rischi con la dashboard di gestione di Keeper.

La dashboard di gestione dei rischi di Keeper Security offre una visualizzazione ottimizzata nella Console di amministrazione Keeper al fine…

1 mese ago