iphone Fonte foto: Cesare Andrea Ferrari / Shutterstock.com
APPLE

IPhone, il copia-incolla mette in pericolo i dati degli utenti

Due ricercatori informatici hanno scoperto che fare copia e incolla sull'iPhone è molto pericoloso e mette in pericolo i dati personali

Gli iPhone sono smartphone “intrinsecamente sicuri“. O forse no: due ricercatori di sicurezza informatica indipendenti, Talal Haj Bakry e Tommy Mysk, hanno dimostrato che persino fare un banale copia e incolla su un iPhone potrebbe portare ad una fuga di dati. E non solo su iPhone, ma anche su tutti i dispositivi collegati allo stesso Apple ID.

Apple smentisce il problema, ma allo stesso tempo propone delle soluzioni, che i due ricercatori ritengono insufficienti per proteggere i dati e la privacy. Tra le informazioni che è possibile rubare tra un copia e un incolla c’è un po’ di tutto, compresa la posizione dell’utente. E a nulla serve che Apple impedisca alle app installate di accedere alla posizione del dispositivo: il “trucchetto” inventato da Bakry e Mysk è tanto smart quanto semplice ed efficace. E, per di più, funziona su tutti gli iPhone che, di conseguenza, sono tutti a rischio. I due ricercatori non solo hanno ipotizzato il metodo per rubare i dati dell’utente, ma hanno anche sviluppato una piccola app in grado di farlo veramente.

Il problema del copia-incolla su iPhone

Apple presume che quando copi le informazioni da un’app, quella che apri in seguito sarà quella in cui desideri incollare tali informazioni. Pertanto, Apple offre all’app attiva in primo piano sul telefono l’accesso alla “pasteboard” del sistema operativo, che è essenzialmente una memoria a breve termine in cui vengono parcheggiate le informazioni che hai copiato. Il problema, però, è che non sempre l’operazione “incolla” segue immediatamente quella “copia“: molto spesso l’utente tiene senza saperlo in memoria le informazioni e fa altro, prima di incollarle in una altra app.

In questo frangente una terza app, malevola, potrebbe accedere alla pasteboard e rubare i dati copiati. E se per caso l’oggetto copiato inizialmente è una fotografia scattata con la telecamera, tra le informazioni copiate/rubate ci può essere anche la posizione GPS registrata nei metadati della foto. Secondo i due ricercatori, inoltre, ogni singola app o widget in esecuzione che viene inserita nella vista “Oggi” dell’iPhone può accedere a queste informazioni.

Quanto è grave il problema

Ma, e la cosa è ancor più grave, un’app ben sviluppata non solo può leggere queste informazioni riservate: può anche modificarle. Questo vale anche per la cosiddetta “Universal Clipboard“, che è una pasteboard condivisa e accessibile da tutti i dispositivi Apple che utilizzano lo stesso ID Apple. Il che vuol dire che, tramite un dispositivo hackerato, è possibile accedere ai dati copiati su un altro dispositivo non compromesso. E questo moltiplica il problema.

Il problema esiste veramente

Questa la teoria, ma la pratica? E’ uguale: Mysk e Makry hanno sviluppato una semplice app con il solo scopo di testare se il meccanismo funziona. E funziona alla perfezione: l’app è riuscita a rubare i dati sulla posizione del dispositivo durante il copia-incolla di una foto. Se copi e incolli una password, un numero di conto bancario o qualsiasi altro tipo di informazione personale vulnerabile, l’app riesce ad accedervi sia in lettura che in scrittura. A questo punto, se copiamo un IBAN da un messaggio email per fare un bonifico tramite l’app della banca, ad esempio, l’app malevola potrebbe modificare tale IBAN nel passaggio tra il copia e l’incolla e farci spedire i soldi a un altro conto corrente.

Apple risponde

I due ricercatori hanno comunicato ad Apple questo problema, ma la società di Cupertino lo ha minimizzato: “Abbiamo presentato numerosi esempi di metodi per abusare dei dati – ha affermato Mysk – Hanno fornito rimedi che sono sciatti e non risolvono il problema“. Secondo Mysk e Bakry, invece, Apple dovrebbe prendere molto sul serio questi rischi.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963