1. A breve aggiorneremo la piattaforma di Reboot per risolvere alcuni problemi con i plug-in, quindi chiediamo ancora un po' di pazienza, Lo staff di Reboot

Il tuo iPhone nasconde il Jailbreak? Un app elude il sistema di sicurezza per verificarlo

Discussione in 'Sicurezza informatica' iniziata da StandardBus, 12 Mag 2016.

  1. StandardBus

    StandardBus Alan

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.091
    Like ricevuti:
    5.331
    [​IMG]

    A quanto pare un sacco di persone hanno paura che il loro iPhone venga jailbreakkato da remoto, o comunque senza la loro autorizzazione.

    Il famoso hacker Steffan Esser (i0n1c) ha pubblicato sull'iTunes app store un programma per iPhone ed iPad a nome della software house tedesca SektionEins per la quale lavora.
    L'app consente di verificare lo stato del dispositivo e di avere accesso ad informazioni quali l'utilizzo di CPU, RAM, lo stato dello storage interno, i processi attivi e altro ancora, ma la caratteristica per cui quest'app sta attirando l'attenzione dei media è la capacità di verificare se l'iPhone è jailbreakkato (ed effettuare il jailbreak non significa installare Cydia, significa avere accesso completo alle funzionalità del telefono, un po' come fa il root su Android).

    Una qualsiasi app normalmente non ha accesso ad una gamma così ampia di informazioni, perchè iOS esegue i programmi scaricati dall'App Store all'interno di una sandbox, una "scatola" software dalla quale il sistema operativo dell'iDevice mostra all'applicazione solo quello che vuole, tenendo ben nascoste tutte le altre info.
    È chiaro che "System and Security info" non si accontenta della sandbox, ed è in grado di accedere a funzioni di sistema che normalmente sono precluse all'interno delle applicazioni autorizzate da Apple. Per fare questo, probabilmente l'app pubblicata da i0n1c sfrutta dei bug software o delle vulnerabilità ancora sconosciute di iOS.

    Il fatto che l'app sia liberamente scaricabile dall'app store significa che la procedura di verifica delle app prima della pubblicazione sullo store ha fallito in questo caso, esponendo milioni di utenti ad un enorme problema di sicurezza.

    Se l'app fosse stata malevola, avendo comunque superato la fase di verifica di Apple, avrebbe potuto potenzialmente infettare tutti gli iDevice su cui veniva installata.


    L'ecosistema creato da Apple è l'unica cosa che funge da "antivirus" per i clienti della mela: loro si fidano di Apple, ed Apple fornisce loro applicazioni, ma solo dopo averle verificate. Solo che in questo caso la verifica non è riuscita ad identificare la breccia nel sistema di sicurezza.
    La notizia ha ovviamente avuto parecchio eco in tutti i siti di tecnologia, ma l'app è ancora disponibile per il download. Resta da vedere quanto resterà ancora online prima che Apple la rimuova.
    Ci sono altre app nello store che hanno accesso a funzioni di sistema anche se non dovrebbero averlo?

    Link alla app sull'iTunes store: https://itunes.apple.com/it/app/system-and-security-info/id1080681261&mt=8
     
    #1
    Ultima modifica: 12 Mag 2016
    A Nephist e AtoM piace questo messaggio.
  2. AtoM

    AtoM Livello 3

    Iscritto:
    16 Feb 2016
    Messaggi:
    58
    Like ricevuti:
    20
    ancora uno schiaffo morale a chi sostiene che ios non e bucabile:tearsofjoy:
     
    #2
    A w wololo 2 piace questo elemento.
  3. StandardBus

    StandardBus Alan

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.091
    Like ricevuti:
    5.331
    È cosí per qualsiasi cosa riguardante l'informatica, non esiste il sistema perfetto, e difendere uno piuttosto che l'altro vale quanto il gusto: è solo questione di preferenza, e le preferenze non vanno difese a spada tratta. Un domani la situazione potrebbe ribaltarsi.

    Ios argina meglio il problema di sicurezza perchè è come un treno sui binari: fa la sua strada, la fa velocemente ma puo andare solo in due direzioni, mentre Android è come un automobile: vai dove vuoi, ma ti assumi i tuoi rischi.
     
    #3
    A w wololo 2, SkyLink98 e AtoM piace questo elemento.
  4. Earth97

    Earth97 3DS Fanboy

    Iscritto:
    28 Giu 2015
    Messaggi:
    1.294
    Like ricevuti:
    306
    Se avessero appurato che si tratta di un'app innocua che, pur facendo breccia nel sistema, non causa problemi? perché non renderla disponibile al pubblico in questo caso?
     
    #4
  5. AtoM

    AtoM Livello 3

    Iscritto:
    16 Feb 2016
    Messaggi:
    58
    Like ricevuti:
    20
    si e vero ma neanche tanto (ultimamente le falle in ios sono parecchie),io sono utente android e da sempre superuser sui miei dispositivi,ho fatto modding a tutto spiano eppure ad oggi non ho mai riscontrato malwer/virus o malfunzionamenti a mio discapito ((e non uso antivirus ecc..))
     
    #5
  6. StandardBus

    StandardBus Alan

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.091
    Like ricevuti:
    5.331
    Apple ha una politica molto restrittiva che fa leva all'alone di sicurezza percepito dagli utenti. Lasciare un'app del genere nello store significherebbe ammettere che il proprio sistema è valido (e vulnerabile) tanto quanto quello degli altri, e che loro semplicemente permettono che venga hackato. Sarebbe pessima pubblicità.
    • Se Apple patchasse la falla sfruttata dall'app, la renderebbe inservibile.
    • L'app è a pagamento... rimuovendola lascerebbero a bocca asciutta tutti gli utenti che l'hanno acquistata (è anche vero che non sarebbe la prima volta)
    • Tutti verrebbero a sapere che Apple permette alle applicazioni autorizzate di ficcare il naso nel sistema
     
    #6
  7. Earth97

    Earth97 3DS Fanboy

    Iscritto:
    28 Giu 2015
    Messaggi:
    1.294
    Like ricevuti:
    306
    Due tipi di utenti usano dispositivi Apple:
    1. Quelli che ne capiscono poco, non hanno voglia di smanettare e si affidano ad Apple, come hai detto bene. Non si saranno nemmeno resi conto dei reali permessi ottenuti dall'app in questione e di ciò che il suo utilizzo implica, l'importante è che faccia il suo dovere;
    2. Quelli che ne capiscono e scelgono Apple per ragioni a me ignote, i quali sanno bene che iOS è un OS come un altro, ha le sue vulnerabilità e potrebbe essere bucato, per cui non si fanno troppi problemi se una app innocua scavalca le restrizioni.
    Fatico a credere che Apple non si sia accorta di tutto e, considerando che la tipologia 1. di utenti è assai più diffusa, per loro avere a disposizione un'app del genere significa ancora più sicurezza, e all'azienda sta più che bene.
     
    #7
    A Filo97, w wololo 2, SkyLink98 e 2 altri utenti piace questo elemento.
  8. StandardBus

    StandardBus Alan

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.091
    Like ricevuti:
    5.331
    entrambi i modi di vedere le cose hanno un senso, sono curioso di vedere come agirà Apple ora che la notizia si sta diffondendo.
     
    #8
    A AtoM piace questo elemento.
  9. Tauck

    Tauck Livello 2

    Iscritto:
    4 Ott 2015
    Messaggi:
    35
    Like ricevuti:
    1
    Io resto dell'idea che un iPhone con il jailbreak sia il telefono perfetto
     
    #9
  10. Zeus

    Zeus Staff Not In Control Staff

    Iscritto:
    15 Dic 2014
    Messaggi:
    701
    Like ricevuti:
    516
    Per la sicurezza.
    Nemmeno l'FBI era riuscita a sbloccare un iPhone della precedente generazione. Per riuscirci, hanno prima chiesto ad Apple "in persona" e dopo vari smadonnamenti, per una cifra assurda, sono riusciti a farselo sbloccare da hacker israeliani. Prendi uno smartphone android qualsiasi, prendi un tizio che ci bazzica un minimo, quanto tempo ci metti ad hackerarlo?

    IMHO: L'iPhone dal lato "sicurezza" è spanne sopra ad Android. Quanti modi possibili ci sono per ottenere i permessi di root su Android? Decine, se non di più. Quanti, invece, per l'iPhone? Si contano sulle dita di una mano. L'unico pro che ha l'iPhone, ovvero l'unico lato positivo che personalmente riconosco a chi utilizza software non open-source, è la difficoltà a trovare falle di sicurezza, dovendo ricorrere, il più delle volte, al reverse-engineering. Riservando questa attività ad una ristretta élite di hacker. A differenza di Android, che essendo open-source, permette a chiunque di sfruttarne le falle "semplicemente" leggendo il codice (unico lato negativo che riconosco ai software con sorgente aperto).
     
    #10
    Ultima modifica: 12 Mag 2016
    A Tauck piace questo elemento.
  11. Earth97

    Earth97 3DS Fanboy

    Iscritto:
    28 Giu 2015
    Messaggi:
    1.294
    Like ricevuti:
    306
    Sul fatto che iOS sia più sicuro di Android credo nessuno abbia da ridire.
    Il punto è che, se ti devono essere sottratti dati, nessun OS ha modo di impedirlo, per quanto sicuro esso possa essere. Pertanto, vale davvero la pena di scegliere iPhone piuttosto che tenersi un Android e rimanere sempre aggiornati/vigili? La sicurezza in più che offre iOS serve?
     
    #11
    A SkyLink98 piace questo elemento.
  12. Zeus

    Zeus Staff Not In Control Staff

    Iscritto:
    15 Dic 2014
    Messaggi:
    701
    Like ricevuti:
    516
    Beh, credo proprio di sì. Quante sono le persone su questo pianeta in grado di sbloccare un dispositivo iOS, dell'ultima generazione, aggiornato all'ultimo firmware? Esagerando, forse, una ventina. Quanti, invece, quelle in grado di farlo su un dispositivo Android?
    Se uno non vuole che nessuno possa accedere ai dati del suo dispositivo, con un iPhone potrà stare più tranquillo per un periodo di tempo più lungo.
    Poi alla fine dipende tutto da cosa uno vuole da uno smartphone.

    IMHO: Questa livello di sicurezza è esagerato, a me basta un pin che impedisca a qualche curioso di sbirciare le mie cose se dovessi dimenticarmelo da qualche parte. Ma poi dubito che qualcuno possa essere davvero interessato a sapere cosa ho sul mio telefono, perdendoci più di 5 minuti. Come nel caso dell'iPhone di San Bernardino, sarebbe stato molto più utile che non fosse stato così sicuro, in questo modo si incentivano attività criminali. Non è giusto che le forze dell'ordine debbano faticare così tanto per ottenere queste informazioni.

    In conclusione, relativamente al tuo post iniziale, suddividerei il punto 2 in ulteriori due punti:
    a) chi è paranoico e un patito della privacy a tutti i costi
    b) chi ha qualcosa da nascondere e svolge attività illecite
     
    #12
    A cdante100, Earth97 e SkyLink98 piace questo elemento.
  13. AtoM

    AtoM Livello 3

    Iscritto:
    16 Feb 2016
    Messaggi:
    58
    Like ricevuti:
    20
    Zeus ti sbagli basta calcolare gli ultimi due bug di ios che permettevano accesso a dati sensibili anche a un bambino di 5 anni figuriamoci ad un malintenzionato

    che poi su android gli unici modi per eludere le password di blocco (a livello noob) sono il reset completo del cellulare con la perdita di tutti i dati oppure tramite ADB ma il cellulare deve avere la modalità sviluppatore visibili e il debug attivo (cosa che un utente normale non usa)
     
    #13
    A Zeus piace questo elemento.
  14. Zeus

    Zeus Staff Not In Control Staff

    Iscritto:
    15 Dic 2014
    Messaggi:
    701
    Like ricevuti:
    516
    In effetti ho fatto un po' di confusione, provo a spiegarmi meglio. Suddividiamo l'argomento in due:

    1) Ottenere i permessi di root
    2) Sbloccare il telefono senza perdita dati

    1) Ottenere questi permessi significa trovare una falla, quindi utilizzarla per fare breccia nel sistema e “salire di livello”. Ovvero “hackerare” un dispositivo. In entrambi i casi, per trovare un bug da sfruttare, bisogna avere un alto livello di competenza. Con Android si tratta "solo" di analisi e comprensione del codice. Con iOS si parla di revere-engineering + analisi e comprensione del codice. È evidente come sia molto più difficoltoso scovare una falla in quest'ultimo, è necessario eseguire il doppio del lavoro. Guarda ogni quanto viene rilasciato un jailbreak: mesi. E quanto passa prima che venga fixato? Pochissimo. Android, invece, è un colabrodo, non esiste device su cui non si riesca ad ottenere permessi di root. Pure l'ultimissima versione non scappa.

    2) Ipotizziamo che sia necessario risalire ai dati di uno smartphone a scopo di indagine. A meno che non sia un Nexus, difficilmente avrà attivo di default la cifratura, a differenza di iOS che la include per tutti i suoi dispositivi. Se non è cifrato, sarà possibile senza troppi problemi recuperare i dati via hardware. In altri casi è comunque possibile un attacco bruteforce, senza pericolo di autodistruzione dei dati.
    Ok, non sono alla portata di un n00b qualsiasi, ma non hai di certo bisogno di ricorrere ad hacker israeliani per 1,3milioni di dollari per sbloccare un telefono Android. Capirai se un'agenzia come l'FBI non avrà dei tecnici specializzati per queste cose. Ci sono pure tutorial su internet.

    In conclusione, IMHO (In My Honest Opinion), iOS rimane dal lato “sicurezza” spanne sopra ad Android, piacendo o non piacendo ahimè è così.
     
    #14
    A cdante100 e AtoM piace questo messaggio.
  15. Wlax

    Wlax Livello 1

    Iscritto:
    13 Mag 2016
    Messaggi:
    2
    Like ricevuti:
    0
    Ragazzi ma dai sanno tutti che Android è il sistema migliore per qualsiasi Smartphone, quando è successo che il Play Store ha portato delle app non verificate al contrario dell' App Store?
    Ios fa pena, Android inizialmente non era chissà cosa ma con queste nuove versioni è una potenza, lo dice stesso il nome.
    Per ora Android è il migliore fino a quando uscirá un sistema che potrebbe superarlo.
     
    #15
Sto caricando...

Condividi questa Pagina