www.MegaLab.it

Derek Brown e Daniel Tijerina sono esperti di sicurezza impiegati presso l'azienda TippingPoint che, a scopo di ricerca, hanno ultimato uno studio piuttosto allarmante.

WeatherFist mostra il meteo... con il GPS

I due hanno spiegato nel corso della manifestazione annuale RSA Conference di aver realizzato un'applicazione per iPhone in grado di visualizzare sul dispositivo dell'utente le previsioni del tempo della zona nella quale si trova.

WeatherFist, questo il nome del programmino, lavora estrapolando le coordinate dal GPS integrato nel dispositivo, e quindi inviandole ad server per l'elaborazione e la risposta.

Il software, distribuito al di fuori dell'App Store ufficiale e destinato ai soli iPhone sbloccati (i cosiddetti jailbroken) ha ottenuto un successo notevole: circa 8.000 installazioni in pochi giorni.

Brown e Tijerina hanno proseguito precisando che WeatherFist, a meno di trasmettere l'esatta posizione dell'utente (un comportamento piuttosto pericoloso per la tutela della privacy, ma comunque necessario per erogare il servizio) non dispone di altre funzionalità nocive.

Avrebbero potuto distribuire il "gemello cattivo"

Allo stesso tempo però, i due sviluppatori hanno spiegato di aver realizzato anche un'altra versione del programma: WeatherFistBadMonkey. Tale compilazione è in tutto e per tutto identica a WeatherFist ma, oltre ad erogare il servizio promesso, apre una backdoor che consente ai due di prendere pieno controllo del dispositivo da remoto: questo strumento, nelle mani di un cracker, potrebbe consentire al malfattore di accedere ai dati memorizzati sul dispositivo (contatti, cookie eccetera), oppure essere aggregato in una botnet per sparare spam attraverso la connettività 3G.

Di più: poiché lo strumento consente l'impiego del GPS integrato da remoto e, presumibilmente, l'accesso al calendario, la falla tecnologica potrebbe facilmente essere utilizzata anche per carpire i movimenti della vittima e sfruttare gli appuntamenti più lunghi per compiere furti nelle abitazione in tutta tranquillità.

WeatherFistBadMonkey non è stato rilasciato pubblicamente, ma i ricercatori hanno confermato di essere riusciti ad installarlo con successo su alcuni modelli di test: va da sé che, in caso lo scopo dei due non fosse stato quello di limitarsi a studiare il fenomeno, avrebbero potuto distribuire la copia malevola al posto di quella lecita, e trovarsi ora in possesso di informazioni confidenziali su 8.000 persone.

Il programma è stato distribuito anche in una declinazione per Android anche se, nuovamente, si è scelto di non utilizzare il marketplace ufficiale.

La decisione di evitare i canali di distribuzione di riferimento per un esperimento del genere è presochè un obbligo. Tutti i programmi vengono infatti provati, validati e firmati digitalmente prima della pubblicazione al pubblico: un processo che, come appare evidente, rivelerebbe ben presto eventuali illeciti.

Un lieto fine... con una lezione da imparare

Ciò nonostatne, lascia comunque perplessi la scarsa attenzione profusa dagli 8.000 utenti con dispositivo sbloccato, evidentemente poco preoccupati dalle possibile conseguenze nefaste che potrebbero originarsi dal software installato su un dispositivo tanto personale come quello mobile.

La morale di questa storia è, ancora una volta, sempre la stessa: installare software su in calcolatore può aprire la porta a problemi di sicurezza, indipendentemente che si tratti di un computer propriamente detto o di un telefonino. Il livello d'allerta deve quindi essere sempre mantenuto elevato, in particolar modo quando ci si procura il materiale al di fuori dei canali ufficiali.