QR code per la pagina originale

FaceTime, grave problema di sicurezza

L'applicazione FaceTime permette di accedere ai dati necessari alla modifica della password senza conoscerla mettendo a rischio gli Apple ID

,

FaceTime sbarca su Mac, e permette ora di effettuare video chiamate in maniera del tutto gratuita tra computer, iPhone 4 e iPod Touch 4G. Ma non è tutto oro ciò che luccica, e iniziano ad emergere i primi problemi dall’applicazione per Mac, ancora in Beta: a quanto pare, sembra sia possibile accedere piuttosto facilmente ai dati necessari alla modifica della password.

Una volta effettuato l’accesso con il proprio Apple ID, infatti, si è in grado di visualizzare la data di nascita dell’utente, e la risposta alla domanda segreta, senza alcuna protezione, e senza dover inserire nuovamente la password. Tali informazioni sono più che sufficienti a superare le misure di sicurezza preposte da Apple per modificare la password dell’ID. Chiunque riesca ad accedere ad una postazione Mac con un account loggato in FaceTime, dunque, può cambiarne la password in pochi click.

Ma i problemi non terminano qui, e coinvolgono anche la fase di logout: uscendo da FaceTime, l’applicazione conserva in memoria la password utilizzata per l’accesso, che resta nell’apposito campo per il login in forma protetta. Neanche un riavvio dell’applicazione è sufficiente a svuotare tale campo: una chiara diretta conseguenza è la possibilità da parte di malintenzionati di accedere ad un account FaceTime senza conoscerne la password, avendo però via libera nel modificarla.

Da Apple non è giunta ancora alcuna dichiarazione in merito, ma sembra che qualcosa si stia già muovendo: molti utenti hanno infatti segnalato come il pulsante “Visualizza Account” non funzioni più nell’applicazione per Mac, probabilmente in seguito all’intervento degli ingegneri di Cupertino. FaceTime, del resto, è ancora allo stadio di Beta, e necessita di numerosi accorgimenti prima di poter essere considerato un software sicuro.

Una volta scoperto il problema, Apple non ha potuto correggere l’applicazione ma ha comunque apportato una modifica temporanea in grado di evitare l’accesso ad informazioni sensibili. Così facendo il problema è provvisoriamente risolto (o quantomeno nascosto), ma alla pezza odierna dovrà ora far seguito una vera e propria patch correttiva.

Notizie su: