{"id":2358,"date":"2014-01-17T10:30:21","date_gmt":"2014-01-17T10:30:21","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=2358"},"modified":"2022-07-18T17:00:19","modified_gmt":"2022-07-18T15:00:19","slug":"le-app-bancarie-di-ios-fanno-acqua-da-tutte-le-parti","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/le-app-bancarie-di-ios-fanno-acqua-da-tutte-le-parti\/2358\/","title":{"rendered":"Le app bancarie di iOS fanno acqua da tutte le parti"},"content":{"rendered":"

Varie applicazioni bancarie per iOS piuttosto diffuse appartenenti a entit\u00e0 bancarie famose in tutto il mondo contengono bug che espongono gli utenti al furto di dati e alla violazione dei propri account<\/a>. In particolare, un hacker esperto potrebbe potenzialmente controllare gli utenti mediante attacchi man-in-the-middle<\/a>, impossessarsi degli account attraverso l\u2019hijacking e causare problemi di corruzione di memoria che potrebbero mandare in crash il sistema e consentire la diffusione d\u2019informazioni personali.<\/p>\n

Ariel Sanchez, un ricercatore argentino che lavora per l\u2019azienda di sicurezza IOActive<\/a>, ha condotto una serie di test su 40 app mobile bancarie appartenenti alle 60 banche pi\u00f9 importanti del mondo e ha analizzato i meccanismi di trasferimento dati delle app, delle interfacce utente, dei processi d\u2019immagazzinamento dati ed altri processi pi\u00f9 complessi, come i compilatori e i processi binari.<\/p>\n

Sanchez ha riscontrato una serie di vulnerabilit\u00e0 che potrebbero essere sfruttate dagli hacker<\/a>.<\/p>\n

\u201cQualcuno con le giuste conoscenze potrebbe utilizzare queste informazioni per individuare potenziali bug e, dopo alcune ricerche, sviluppare un exploit o un malware in grado di violare la sicurezza degli utenti che utilizzano questi servizi bancari\u201d, ha affermato Sanchez. \u201cSi tratta del primo passo verso una potenziale minaccia alla sicurezza\u201d.<\/p>\n

IOActive assicura di aver informato le varie entit\u00e0 bancarie circa tali vulnerabilit\u00e0, ma Sanchez ha affermato che, ad oggi, nessuna banca sembra aver risolto i bug individuati.<\/p>\n

Questa vulnerabilit\u00e0 potrebbe essere sfruttata per ottenere accesso all\u2019infrastruttura di sviluppo della banca e infettare l\u2019applicazione con un malware, causando un\u2019infezione a macchia d\u2019olio tra tutti gli utenti dell\u2019applicazione<\/div>\n

Sanchez ha anche dichiarato che il problema pi\u00f9 preoccupante \u00e8 stato riscontrato durante l\u2019analisi statica del codice binario di ogni applicazione. Il problema riguarda\u00a0 il numero di credenziali cablate a codice (hardcoding) nascoste nei codici binari. In sostanza, una serie di applicazioni bancarie vulnerabili contengono diverse master key distinguibili. Queste sono state create per dare agli sviluppatori accesso alle applicazioni delle infrastrutture di sviluppo. Sfortunatamente, le credenziali cablate a codice possono anche dare agli hacker lo stesso livello di accesso.<\/p>\n

\u201cQuesta vulnerabilit\u00e0 potrebbe essere sfruttata per ottenere accesso all\u2019infrastruttura di sviluppo della banca e infettare l\u2019applicazione con un malware<\/a>, causando un\u2019infezione a macchia d\u2019olio tra tutti gli utenti dell\u2019applicazione\u201d ha spiegato Sanchez.<\/p>\n

Parte del problema \u00e8 dovuto al fatto che alcune applicazioni inviano link non criptati agli utenti e\/o non riescono a validare adeguatamente i certificati SSL<\/a> quando le informazioni vengono criptate. Questo comportamento, che Sanchez attribuisce a una semplice svista da parte degli sviluppatori, mette a serio repentaglio i clienti e li espone agli attacchi man-in-the-middle, quelli\u00a0 in cui un hacker inietta codici javascript o HTML come parte di una scam di phishing.<\/p>\n

Tutti i meccanismi scoperti da Sanchez sono aggravati dal fatto che il 70% delle banche analizzate non sono riuscite a implementare la doppia autenticazione<\/a>.<\/p>\n

\u201cBasta avere il codice binario della app, uno strumento per decifrare il codice e un altro per smantellarlo\u201d ha dichiarato Sanchez. \u201cSono molte le ricerche dove viene descritto come decifrare e smontare il codice di queste app. Chiunque, anche qualcuno con poca esperienza, pu\u00f2 farlo\u201d.<\/p>\n

IOActive \u00e8 responsabile della diffusione della notizia, sia nel buono che nel cattivo senso (ma soprattutto nel buono). Il lato positivo \u00e8 che non ha indicato i nomi delle banche interessate dal problema, n\u00e9 pubblicato specifiche vulnerabilit\u00e0 che potrebbero dare agli hacker\u00a0 le informazioni necessarie per attaccare gli account degli utenti. Il lato negativo riguarda il fatto che non sappiamo quali banche e app sono vulnerabili e quindi non sappiamo di chi ci dobbiamo fidare.<\/p>\n

Probabilmente la cosa pi\u00f9 cauta da fare sarebbe smettere di utilizzare app bancarie mobili<\/a> fino a che questi fatti non vengano confermati e risolti. Ad ogni modo, molti di noi non lo faranno. Nel frattempo, \u00e8 bene impostare l\u2019autenticazione a doppio fattore, se la vostra banca mette a disposizione il servizio. In caso contrario, fate attenzione ai link che visualizzate nella vostra app, guardatevi dai messaggi di phishing e tenete d\u2019occhio il vostro conto in banc<\/p>\n","protected":false},"excerpt":{"rendered":"

Varie applicazioni bancarie per iOS piuttosto diffuse appartenenti a entit\u00e0 bancarie famose in tutto il mondo contengono bug che espongono gli utenti al furto di dati e alla violazione dei propri account. In particolare, un hacker esperto potrebbe potenzialmente controllare gli utenti mediante attacchi man-in-the-middle, impossessarsi degli account attraverso l\u2019hijacking e causare problemi di corruzione di memoria che potrebbero mandare in crash il sistema e consentire la diffusione d\u2019informazioni personali.<\/p>\n","protected":false},"author":42,"featured_media":2359,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[2239,202,885,204,22],"class_list":{"0":"post-2358","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-consigli","9":"tag-app","10":"tag-app-bancarie","11":"tag-ios","12":"tag-malware-2"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/le-app-bancarie-di-ios-fanno-acqua-da-tutte-le-parti\/2358\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/consigli\/","name":"#consigli"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=2358"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2358\/revisions"}],"predecessor-version":[{"id":27052,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2358\/revisions\/27052"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/2359"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=2358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=2358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=2358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}