Punto informatico Network

20100311170347_1499868764_20100311170301_1620459821_IPhonehomescreen.PNG

Due esperti avvisano: avremmo potuto costruire una botnet di 8.000 iPhone

12/03/2010
- A cura di
Zane.
Sicurezza - Un innocuo programma per ricevere le previsioni del tempo avrebbe potuto costare caro ad 8.000 utenti poco attenti alla sicurezza. Fortunatamente, il tutto è stato svolto a scopo di ricerca.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

iphone (1) , botnet (1) .

Valutazione

  •  
Voto complessivo 4.5 calcolato su 42 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Derek Brown e Daniel Tijerina sono esperti di sicurezza impiegati presso l'azienda TippingPoint che, a scopo di ricerca, hanno ultimato uno studio piuttosto allarmante.

WeatherFist mostra il meteo... con il GPS

I due hanno spiegato nel corso della manifestazione annuale RSA Conference di aver realizzato un'applicazione per iPhone in grado di visualizzare sul dispositivo dell'utente le previsioni del tempo della zona nella quale si trova.

WeatherFist, questo il nome del programmino, lavora estrapolando le coordinate dal GPS integrato nel dispositivo, e quindi inviandole ad server per l'elaborazione e la risposta.

Il software, distribuito al di fuori dell'App Store ufficiale e destinato ai soli iPhone sbloccati (i cosiddetti jailbroken) ha ottenuto un successo notevole: circa 8.000 installazioni in pochi giorni.

Brown e Tijerina hanno proseguito precisando che WeatherFist, a meno di trasmettere l'esatta posizione dell'utente (un comportamento piuttosto pericoloso per la tutela della privacy, ma comunque necessario per erogare il servizio) non dispone di altre funzionalità nocive.

Avrebbero potuto distribuire il "gemello cattivo"

Allo stesso tempo però, i due sviluppatori hanno spiegato di aver realizzato anche un'altra versione del programma: WeatherFistBadMonkey. Tale compilazione è in tutto e per tutto identica a WeatherFist ma, oltre ad erogare il servizio promesso, apre una backdoor che consente ai due di prendere pieno controllo del dispositivo da remoto: questo strumento, nelle mani di un cracker, potrebbe consentire al malfattore di accedere ai dati memorizzati sul dispositivo (contatti, cookie eccetera), oppure essere aggregato in una botnet per sparare spam attraverso la connettività 3G.

Di più: poiché lo strumento consente l'impiego del GPS integrato da remoto e, presumibilmente, l'accesso al calendario, la falla tecnologica potrebbe facilmente essere utilizzata anche per carpire i movimenti della vittima e sfruttare gli appuntamenti più lunghi per compiere furti nelle abitazione in tutta tranquillità.

WeatherFistBadMonkey non è stato rilasciato pubblicamente, ma i ricercatori hanno confermato di essere riusciti ad installarlo con successo su alcuni modelli di test: va da sé che, in caso lo scopo dei due non fosse stato quello di limitarsi a studiare il fenomeno, avrebbero potuto distribuire la copia malevola al posto di quella lecita, e trovarsi ora in possesso di informazioni confidenziali su 8.000 persone.

Il programma è stato distribuito anche in una declinazione per Android anche se, nuovamente, si è scelto di non utilizzare il marketplace ufficiale.

La decisione di evitare i canali di distribuzione di riferimento per un esperimento del genere è presochè un obbligo. Tutti i programmi vengono infatti provati, validati e firmati digitalmente prima della pubblicazione al pubblico: un processo che, come appare evidente, rivelerebbe ben presto eventuali illeciti.

Un lieto fine... con una lezione da imparare

Ciò nonostatne, lascia comunque perplessi la scarsa attenzione profusa dagli 8.000 utenti con dispositivo sbloccato, evidentemente poco preoccupati dalle possibile conseguenze nefaste che potrebbero originarsi dal software installato su un dispositivo tanto personale come quello mobile.

La morale di questa storia è, ancora una volta, sempre la stessa: installare software su in calcolatore può aprire la porta a problemi di sicurezza, indipendentemente che si tratti di un computer propriamente detto o di un telefonino. Il livello d'allerta deve quindi essere sempre mantenuto elevato, in particolar modo quando ci si procura il materiale al di fuori dei canali ufficiali.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.14 sec.
    •  | Utenti conn.: 107
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0