FREAK, vulnerabili migliaia di app iOS e Android

All’inizio del mese era stata scoperta una grave vulnerabilità nell’implementazione del protocollo SSL/TLS usato per cifrare il traffico HTTPS. I ricercatori di FireEye ha ora rilevato che il bug è presente anche in migliaia di app iOS e Android. Un malintenzionato può quindi intercettare i dati inviati dal dispositivo mobile ai server di backend.

La vulnerabilità FREAK, acronimo di Factoring attack on RSA-EXPORT Keys, era presente in Internet Explorer, Chrome, Safari, Opera e BlackBerry Browser su Windows, OS X, Android, iOS e BlackBerry OS. Tutti i rispettivi produttori, ad eccezione di BlackBerry, hanno rilasciato patch risolutive, ma ci sono numerose app che usano una versione vulnerabile di OpenSSL per la connessione a server HTTPS vulnerabili. Per l’esattezza sono 1.228 app Android su 10.985 (11,2%) e 771 app iOS su 14.079 (5,5%). FireEye ha considerato solo le app più popolari, quindi il loro numero è sicuramente più alto.

Se le app in questione inviano dati ai server, utilizzando una chiave RSA a 512 bit, è possibile decifrare il traffico in poche ore ed eseguire attacchi MITM (man-in the-middle). Sfruttando altre tecniche, come ARP spoofing e DNS hijacking, un cybercriminale può registrare il traffico e accedere alle informazioni sensibili memorizzate.

La vulnerabilità potrebbe consentire, ad esempio, di rubare i dati di login e della carta di credito usati in un’app per lo shopping. Il problema è presente anche in altre app che memorizzano le informazioni personali degli utenti, come le app di produttività, mediche e finanziarie. FireEye non ha divulgato i nomi delle app. Gli sviluppatori dovrebbe verificare se il bug è presente per non mettere a rischio la sicurezza e la privacy delle persone.