Una categoria molto interessante di Applicazioni iPhone riguarda sicuramente quelle legate agli operatori, che permettono di visualizzare il credito e tutte le altre informazioni relative alle promozioni, le tariffe e le soglie. Nel giro di pochi mesi sono nate tante applicazioni simili e tante altre stanno per essere rilasciate a breve in AppStore. Oggi però esaminiamo iCredito, un’applicazione davvero ottima e consigliata se non fosse per un piccolo problemino.
Il nostro iZoos ha infatti scoperto che i dati relativi al login per il proprio account (username e password) vengono salvati nell’iPhone all’interno di un file .plist. Questo velocizza il funzionamento dell’applicazione in quanto farà sempre riferimento a quel file e vi eviterà di inserire le credenziali d’accesso ogni volta che viene lanciata.
L’unico problema consiste nel fatto che il file è liberamente accessibile e i nostri dati non vengono criptati in alcun modo ma sono liberamente accessibili e visualizzabili con un piccolissimo gesto. Basta infatti utilizzare iFile oppure una connessione SSH per entrare in Library/Preferences. In questo percorso troverete il file “applicazioneicredito.plist” e nelle ultime righe troverete esplicitamente scritti il vostro username e la vostra password!
Tutto questo non rappresenta un reale pericolo in questo momento ma potrebbe farlo in futuro. Ad un hacker interessato a tutte le vostre credenziali d’accesso infatti, basterebbe realizzare un semplicissimo giochino da rilasciare tramite Cydia e, servendosi dell’accesso ai file di root, potrebbe localizzare quel file ed inviarsi, in maniera nascosta, tutto il contenuto direttamente sulla propria casella di posta elettronica.
Creare un worm del genere è davvero semplice, tuttavia sono davvero poche le persone in Italia che sviluppano applicazioni per iPhone Jailbroken e tra queste è del tutto improbabile che si nascondano degli hacker malintenzionati. Tuttavia vi invitiamo a prestare attenzione e soprattutto invitiamo lo sviluppatore di iCredito a rilasciare un nuovo aggiornamento che includa un metodo efficace per criptare i dati relativi all’username e la password richiesti dalla sua applicazione.
Ci teniamo a precisare che iCredito resta un’ottima applicazione e che sicuramente è stata sviluppata con i migliori intenti possibili per una clientela vastissima rappresentata da tutte le persone che utilizzano l’AppStore. Tuttavia non bisogna dimenticare che tra queste c’è una piccola minoranza che utilizza anche Cydia e che quindi possiede un dispositivo Jailbroken, molto più suscettibile a vulnerabilità del genere.
Pertanto, se avete un iPhone originale, non correte pericoli, se avete un dispositivo sbloccato invece, esiste una possibilità di “attacco” da parte di qualche malintenzionato. Il pericolo non è davvero urgentissimo per le motivazioni esposte in cima tuttavia abbiamo sentito il dovere di informare gli utenti su tutto quello che potrebbe succedere e quindi invitiamo lo sviluppatore a prendere dei provvedimenti oppure a chiarirci la situazione.
Grazie iZoos (Andrea Germanà)
Leggi o Aggiungi Commenti