L’intero mondo della telefonia è a rischio hacker. La rete GSM, come quella garantita da Vodafone, TIM e Wind in Italia, è vulnerabile ad una nuova ed importante falla di sicurezza che potrebbe consentire agli hacker di inviare messaggi di testo o di effettuare chiamate da remoto.
Un pericoloso attacco che mette a rischio il credito telefonico e i conti in banca di milioni e milioni di utenti sparsi in tutto il mondo.
Apple ha rilasciato un importante aggiornamento di sicurezza per iOS, il sistema operativo adottato dallo smartphone iPhone, dal lettore multimediale iPod Touch e dal tablet iPad. L’update denominato iOS 4.3.4 si compone di tre patch fondamentali e richiede come requisito minimo la presenza di iOS 3.0 per iPhone 3GS ed iPhone 4, di iOS 3.1 per l’iPod Touch di terza e quarta generazione, di iOS 3.2 per l’iPad.
I primi due aggiornamenti vanno a chiudere una grave falla nella gestione dei file PDF da parte del browser Safari. Secondo il bollettino diffuso da Apple questo bug può essere sfruttato per creare file PDF in grado di generare il chash dell’applicazione o l’esecuzione di codice arbitrario. Questa falla negli ultimi giorni è stata al centro delle attenzioni di sviluppatori ed esperti di sicurezza perché utilizzata per il jailbreak dei dispositivi basati su iOS 4.3.3 tramite la semplice visualizzazione di un documento PDF opportunamente artefatto. Il tool JailbreakMe è stato il primo a comparire in rete, ma era alta la preoccupazione che la stessa modalità operativa potesse essere utilizzata anche all’interno di attacchi virali.
Mentre tutti parlano del mega-aggiornamento Mango che non vedrà la luce prima di agosto/settembre, Microsoft è al lavoro su una nuova patch di sicurezza per Windows Phone 7 destinata a correggere le vulnerabilità del sistema (con qualsiasi browser) nei confronti di alcuni certificati SSL fraudolenti aventi come oggetto domini famosi come login.live.com (quello che si usa quando ci si connette o si vuole scoprire come cancellarsi da MSN), mail.google.com, www.google.com, login.yahoo.com (3 certificati), login.skype.com, addons.mozilla.org e Global Trustee.
Mediante l’utilizzo di tali certificati, si possono compiere azioni di phishing, rubare dati e realizzare attacchi di tipo man in the middle in cui i malintenzionati possono leggere, inserire o modificare a piacere messaggi tra due parti senza che nessuna delle due ne sia al corrente.