Video: Webinar 1Planet4All 161120 (Settembre 2024)
Durante un attacco Main-in-the-Middle, qualcuno dirotta la tua connessione a un sito sicuro, ricevendo tutto ciò che viene inviato da entrambe le parti e passandolo, possibilmente con modifiche dannose. Ma un attacco MITM termina quando ti disconnetti dalla rete. Non così dice più Yair Amit di Skycure (i ragazzi che hanno hackerato il mio iPhone). Apparentemente hanno scoperto una vulnerabilità che può cambiare in modo permanente il comportamento delle app in iOS.
Incontra l'attacco di dirottamento della richiesta
Skycure lo chiama Attacco dirottamento di richieste HTTP e inizia, dice Amit, con un attacco MITM. Mentre sei connesso alla rete dannosa, l'attaccante monitora il tuo traffico e cerca app che recuperano informazioni dai server. Quindi l'attaccante intercetta tale richiesta e invia un codice di stato HTTP 301 all'applicazione. Si tratta di un errore di reindirizzamento permanente e indica al browser che il server che sta cercando è stato spostato in modo permanente in un'altra posizione.
Tutte le app vulnerabili, ha spiegato Amit, memorizzeranno nella cache le modifiche apportate dal codice 301 e continueranno a connettersi al server reindirizzato per il prossimo futuro. In uno scenario non dannoso, questo è ottimo per gli utenti poiché significa connessioni più veloci e più affidabili. Ma quando l'attaccante invia il suo errore 301, forza l'applicazione ad avviare il caricamento delle informazioni dal suo server.
Le implicazioni sono interessanti. Amit ha sottolineato che molte applicazioni di notizie e titoli non hanno barre degli URL, quindi non è chiaro all'utente da dove provengano le informazioni. Nel caso di un'applicazione di notizie compromessa, Amit ha detto: "ora stai leggendo notizie false dall'attaccante".
Un simile attacco potrebbe essere sottile, magari alimentando storie false o informazioni di borsa imprecise per manipolare il mercato. Oppure un utente malintenzionato potrebbe concepire il mirroring di tutte le informazioni dal server di un'app di notizie ma iniettare collegamenti dannosi per phishing o, peggio ancora.
Diffuso ma inutilizzato
La cosa più spaventosa che Amit mi ha detto non era ciò che l'attacco poteva fare, ma quanto fosse diffuso. Perché è così semplice, migliaia di app sembrano essere interessate. Così tanti, che Skycure afferma che l'unico modo per rivelare in modo responsabile la vulnerabilità era descriverla pubblicamente senza rivelare i nomi delle app interessate.
La buona notizia è che Amit afferma che la sua squadra non ha visto questo particolare attacco usato in natura. L'implicazione, ovviamente, è che gli sviluppatori dovrebbero spostarsi rapidamente per aggiornare le loro app e risolvere il problema prima che qualcuno inizi a usarlo. Tutti gli sviluppatori là fuori dovrebbero rivolgersi a Skycure per suggerimenti su come migliorare le loro app.
Rimanere al sicuro
La cosa migliore che gli utenti possono fare è mantenere aggiornate le loro app, poiché è probabile che gli sviluppatori inizino a implementare correzioni tra app vulnerabili. Se pensi di essere già stato colpito da questo particolare attacco, dovresti disinstallare l'applicazione sospetta e reinstallarla dall'App Store.
Evitare questo attacco in futuro è più facile in teoria che in pratica. "È sempre più sicuro non connettersi alle reti WiFi, ma alla fine lo facciamo sempre", ha dichiarato Amit. A volte, non è nemmeno un problema di convenienza in quanto i telefoni possono connettersi alle reti Wi-Fi senza azioni dell'utente. Amit ha spiegato, dicendo che i clienti AT&T si connettono automaticamente alle reti AT&T. Ha anche sottolineato che se un utente malintenzionato utilizzava profili dannosi, come ha fatto Skycure quando ha violato il mio iPhone, nemmeno una connessione SSL potrebbe fermare l'attacco.
L'onere, secondo Skycure, è che gli sviluppatori costruiscano le loro app per evitare il problema in primo luogo. E si spera presto, poiché le informazioni sulla vulnerabilità sono ora disponibili.
