• iPhone e attacchi SSL: occhio alla configurazione

    iphone_mobileconfig.jpg

    Il recente rilascio della versione 3.1.3 di iPhone OS non ha portato con sé alcuna patch riguardante una errata gestione dei certificati SSL.

    Il bug è stato individuato a fine gennaio e le informazioni a riguardo pubblicate sul blog Cryptopath.

    Nell’articolo viene mostrato sia possibile firmare un file di configurazione XML utilizzando un “certificato SSL fasullo”, registrato ad una società Apple Computer fittizia.

    L’iPhone è infatti in grado di accettare file di configurazione (“mobileconfig”) per alcune impostazioni o anche file di installazione con nuovi certificati. L’importante è che siano firmati da una CA (Certification Authority) valida, non importa quale.

    Lo scopo principale di questa funzionalità è un suo uso in ambito enterprise per distribuire in maniera veloce e semplice, grazie al meccanismo “Over the Air” (OTA), le impostazioni ad un numero elevato di dispositivi.

    Tuttavia il fatto che l’attacco abbia successo richiede una buona dose di social engineering affinché gli utenti vittima accettino i file mobileconfig OTA.

    In ogni caso, qualora ciò avvenga, un malintenzionato mediante apposito file di configurazione, potrebbe essere in grado di monitorare qualsiasi tipo di traffico HTTP e addirittura SSL/HTTPS.

    Installando un maniera silente il proprio certificato tra la lista di quelli “consentiti” e impostando un proxy HTTP per la navigazione, il gioco è fatto: il traffico può quindi essere re-direzionato verso un server esterno e monitorato.

    Tuttavia la complessità dell’attacco è piuttosto elevata: lo stesso Charlie Miller di Independent Security Evaluators, ha confermato a The Register, che per quanto perfettamente possibile come scenario è difficilmente attuabile, e quindi piuttosto improbabile.

    Tags:

    Se vuoi aggiornamenti su iPhone e attacchi SSL: occhio alla configurazione inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Ratamusa dice:

      Tranquilli.
      Subito qualcuno uscirà a dire che l’iphone o il suo sdk sono instabili e insicuri. Meglio gli altri cellulari.
      Qualcun’altro crederà a queste baggianate e ci saranno, ancora, flamer e troll o gente ancor peggiore che faranno di tutto per disinformare a favore di questo o di quello e dire che Apple non è in grado di fare cellualri decenti (o qualcos’altro dello stesso tenore)….

    Commenta

    Your email address will not be published. Required fields are marked *