image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia" Da oggi bollette più facili da leggere: come funziona lo �...
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati pe...

Password, iCloud e sicurezza a rischio su OSX e iOS per colpa di Xara

Un insieme di vulnerabilità, chiamato Xara, permette al malware di interporsi tra le applicazioni e i servizi web, rubando le credenziali che passano sia su OSX che, in maniera minore, iOS.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Pubblicato il 18/06/2015 alle 12:05

Xara sta per "Unauthorized Cross-App Resource Access on MAC OS X and iOS" e indica una serie di vulnerabilità nel modo in cui le app compiono l'autenticazione.

Finora, è sicuro che questo problema permetta di rubare le password di iCloud, token di autenticazione di vari servizi come Linkedin e Gmail e le password salvate in Chrome su sistemi OSX e di creare parecchi problemi anche su iOS.

La scoperta è stata di un team di studenti universitari cinesi per lo più attualmente dislocati negli USA: Luyi Xing, Xialong Bai, XiaoFeng Wang, and Kai Chen dell'università dell'Indiana, Tongxin Li dell'università di Peking (Cina) and Xiaojing Liao del Georgia Institute of Technology.

Nel documento rilasciato, questi spiegano come il problema sia legato alla necessità di usare degli url per passare delle credenziali da un'app all'altra o da un'app a un servizio.

A causa di una implementazione discutibile delle ACL (Access Control List)  su OSX e di  altri problemi connessi ai servizi di interconnessione tra app come Keychain,  Websocket e URL Scheme sia su OSX sia su iOS, una app che gira in una sandbox può cancellare delle voci in Keychain e ricrearle in una ACL, permettendo all'app di leggere quanto vi transita.

Si sa che usare l'autenticazione via URL non è il modo migliore di fare le cose, ma nel documento redatto dai ricercatori cinesi si legge che "il problema sorge dalla difficoltà che una app incontra nell'autenticare in maniera appropriata il reale controllore di un elemento Keychain. Apple non fornisce alcun modo sensato per farlo".

E non finisce qui. Sempre nell'insieme di vulnerabilità Xara si trova un altro exploit che può portare a quello che viene definito una "crepa nel muro" (il termine usato in inglese è "container cracking" ma in italiano ci sono varie forme).

Sfruttandolo, un malware può accedere alla sandbox di qualsiasi app sia progettato per attaccare.

iOS e la risposta di Apple

Per quello che riguarda iOS, la situazione è meno chiara perché il gruppo di studenti ha chiaramente fatto notare che esistono una serie di vulnerabilità (soprattutto su Scheme e Websocket), ma non è scesa nei dettagli sulle implicazioni possibili.

Apple è stata avvisata di questi problemi nell'ottobre del 2014 e, data a gravità della situazione, di nuovo a Novembre, ma l'azienda aveva già avvisato che le sarebbero serviti sei mesi per porre rimedio a queste falle. Di mesi, ormai, ne sono passati più di sette.

Nell'ultima versione di OSX, il problema sembra che sia stato risolto per quanto riguarda l'accesso di iCloud, ma le altre applicazioni sono ancora esposte, mostrando come Apple abbia "messo una pezza" alla gestione del proprio servizio in attesa di adottare misure migliori, lasciando il resto con ancora grandi margini di miglioramento.

Cosa implica per noi utenti questa serie di vulnerabilità?

Purtroppo niente di buono, ma ci possiamo fare poco. Di vulnerabilità sui nostri sistemi ne troveremo sempre e anche se questa è molto noiosa per la sua portata in quanto è stato visto che è possibile intercettare addirittura le password fornite da 1password, oltre ai token di servizi quali Pinterest o le note di Evernote, c'è sempre bisogno dell'installazione di un malware sul computer per poter far danni. Se si usano programmi fidati, non dovrebbero esserci grandi rischi.

Discorso diverso su iOS. Dal momento che per sfruttare questi bug non servono metodi speciali, è improbabile che il servizio di review possa intercettare app "malevole". Non a caso, gli studenti hanno dichiarato che diffonderanno ulteriori notizie e dei software dimostrativi solo più avanti nell'anno, quando probabilmente Apple riuscirà a trovare una soluzione.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    Blocco diesel Euro 5 Nord Italia: tutto quello che c'è da sapere
  • #2
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #3
    Amazon Prime Day, quand'è, quanto dura e come trovare le offerte migliori
  • #4
    Incredibile ma vero: PNG si aggiorna dopo ben 22 anni
  • #5
    Migliori stampanti fotografiche (luglio 2025)
  • #6
    LTSC è la versione più pulita di Windows! Tua a 8€ per un tempo limitato
Articolo 1 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Articolo 2 di 5
Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia"
Dal 1° luglio arriva il nuovo formato delle bollette energetiche: più chiare, trasparenti e con frontespizio standardizzato per tutti i fornitori.
Immagine di Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia"
1
Leggi questo articolo
Articolo 3 di 5
Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Aggiungi l’eleganza senza tempo dell’albicocco giapponese o delle rose al tuo spazio a meno di 50€, ma affrettati: promozione limitata!
Immagine di Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Leggi questo articolo
Articolo 4 di 5
Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Durante le calde giornate estive, può capitare di voler asciugare i capelli all’aria aperta, ma con questo asciugacapelli non vorrete più farlo.
Immagine di Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Leggi questo articolo
Articolo 5 di 5
AFFARE Prime Day: De Longhi Nespresso Vertuo Pop a META' PREZZO!
Approfitta subito dell'offerta riservata Amazon Prime per la De Longhi Nespresso Vertuo Pop, completa di 60 capsule in alluminio riciclato.
Immagine di AFFARE Prime Day: De Longhi Nespresso Vertuo Pop a META' PREZZO!
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.