In Safari per iOS c'è una falla di sicurezza molto grave, che permette di visualizzare false pagine web, e usarle per indurre gli utenti a cedere dati sensibili. Si tratta di una tecnica nota come URL spoofing, che in teoria ogni browser può contrastare da anni. Apple sembra però aver perso un colpo questa volta.
È una tecnica relativamente semplice. Tramite un comando JavaScript per aprire una finestra è possibile visualizzare un indirizzo falso nella relativa barra, facendo credere a chi naviga di trovarsi in un luogo sicuro quando in realtà non è così.
Il bug dimostrato su iPhone. Se non fosse per l'avviso, sarebbe impossibile notare la differenza.
C'è anche una pagina di esempio, da visitare con un dispositivo iOS per vedere che cosa succede. Basta cliccare (toccare) il tasto Demo ed ecco che si apre una nuova pagina con l'indirizzo Apple.com, e che sembra in tutto e per tutto l'home page dell'azienda. Non è così però, come si legge nell'avviso, perché ci si trova ancora sul sito dell'azienda specializzata che ha rilevato il problema. La stessa tecnica si potrebbe usare per qualsiasi servizio, spingendo così qualcuno a inserire nome utente e password.
Si tratta di un problema molto grave, per il quale Ministero di Sicurezza e Giustizia olandese ha già diramato un avviso di sicurezza ai cittadini. Ci aspettiamo che Apple lo risolva in fretta – prima di occuparsi del calore o del Wi-Fi del nuovo iPad – ma sappiamo che storicamente l'azienda di Cupertino non è fulminea nel pubblicare correzioni, anche quando sono così rilevanti.
In ogni caso David Vieira-Kurz di MajorSecurity ha avvisato Apple dopo aver confermato l'esistenza del problema, quindi è lecito pensare che con il prossimo aggiornamento di iOS si correggerà anche questo problema. Nel frattempo non resta che fare molta attenzione ai link su cui si clicca, ai messaggi di posta elettronica e ai collegamenti su Twitter e Facebook. E consigliamo a tutti i nostri lettori di parlarne con i loro amici che non seguono da vicino il settore tecnologico.