Manager

Falla zero day nelle app iOS, chiamate senza controllo

Gli iPhone sono vulnerabili a un attacco che potrebbe farci spendere un capitale in bolletta telefonica. I ricercatori Andrei Neculaesei e Guillaume K. Ross hanno infatti scoperto che la maggior parte delle applicazioni permette l'avvio di chiamate senza verifica da parte del proprietario.

In sintesi è sufficiente che un link creato ad arte raggiunga il telefono tramite un'applicazione non sicura e la chiamata si avvia immediatamente. Nell'esempio di Neculaesei il collegamento viene spedito a Facebook Messenger e il trucco funziona.

In teoria non dovrebbe succedere: da documentazione Apple dovrebbe essere il proprietario del telefono ad autorizzare la chiamata, dopo aver ricevuto una notifica. Il sistema operativo e molte applicazioni di Apple seguono questa regola, e infatti con Safari la notifica compare.

Ma con altre applicazioni no: Facebook, Gmail, Google+ e altre espongono tutte a questo tipo di problema. E non basta dire "i click non li clicco" perché almeno in alcuni casi possono cliccarsi da soli, con del codice javascript relativamente semplice. E anche quando ciò non è possibile si può fare in modo che il click sia accidentale – come capita spesso a chi usa uno smartphone.

Qual è il pericolo? Che la chiamata si indirizzata a numeri speciali che ci costeranno una fortuna. L'attaccante che ha creato l'attacco prenderà una percentuale del salasso, ma la vittima potrebbe trovarsi una bruttissima sorpresa in bolletta.

Basterebbe creare un numero che costa dieci euro di scatto alla risposta, per esempio. In alternativa si potrebbe usare un software per identificare il numero di telefono chiamante – e poi usarlo per un furto d'identità. Ci sono altre possibili applicazioni per questa falla (vedi video), che in generale sfruttano in modo malevolo le interazioni automatiche tra applicazioni – come la creazione di una sveglia o un evento in calendario, o anche creare follow e post automatici su Twitter. Anche Facetime di Apple ha una falla simile, che permette di avviare una falsa chiamata e sottrarre la fotografia della vittima.

A chi dare la colpa? Un po' a tutti probabilmente: gli sviluppatori non hanno seguito le linee guida di Apple e quindi le app possono avviare chiamate non autorizzate, ma d'altra Apple ha lasciato loro questa possibilità. Di primo acchito verrebbe spontaneo attribuire la responsabilità all'azienda di Cupertino, perché avremmo preferito che la notifica fosse obbligatoria e non opzionale. Ma forse non sarebbe del tutto corretto accusare solo Apple. In ogni caso, speriamo che presto arrivino aggiornamenti che risolvano questo fastidioso problema.