Articoli

Le vulnerabilità svelate al Black Hat di Las Vegas continuano a stupirci, un gruppo di ricercato guidati da Javier Galbally ha dimostrato come sia possibile eludere i sistemi di autenticazioni basati sull’iride. La Bio-Autenticazione dell’iride è stata finora considerata la protezione informatica più sicura, ma il team è riuscito a dimostrate alla conferenza di IT Security che il sistema è violabile.

Per violare il sistema sono stati raccolti in un database vari schemi e caratteristiche dell’iride umana, successivamente un algoritmo elabora le caratteristiche immagazzinate per generare più iridi artificiali fino a raggiungere la configurazione specifica per accedere al sistema. Durante la presentazione sono bastati dieci minuti per trovare la combinazione corretta e ottenere accesso al sistema, senza aver a disposizione l’iride del soggetto autorizzato.

Galbally ha precisato infine che comunemente il sistema di Bio-Autenticazione dell’iride viene accoppiato ad altri sistemi di riconoscimento basati sulla personalità, su una password o sul possesso i quali diminuiscono sensibilmente il successo dell’attacco. Tuttavia il sistema di difesa ritenuto più sicuro è stato violato in meno di dieci minuti.

Via | Diario del Web

Charlie Miller durante il recente Black Hat di Las Vegas ha dimostrato com’è possibile controllare i dispositivi Android attraverso la tecnologia NFC.

Sfruttando la tecnologia Android Beam è possibile indirizzare il dispositivo Android ad un sito internet malevole che sfrutta una vulnerabilità del Browser stock per installare nello Smartphone un Malware ottenendo la possibilità di consultare senza autorizzazione cookie e pagine web visitate. Se l’utente ha inoltre acconsentito all’installazione di applicazioni di terze parti è possibile prendere il controllo completo del telefono.

La vulnerabilità è stata dimostrata sulla linea di Smartphone Nexus supportata direttamente da Google, la versione più vulnerabile è Gingerbread, Ice Cream Sandwich risolve alcune vulnerabilità del Browser che rendono più difficile lo sfruttamento della falla mentre non sono stati effettuati test sulla recente versione Jelly Bean.

Via | The Inquirer

Cody Brocious, uno sviluppatore di software Mozilla, alla conferenza sulla sicurezza informatica Black Hat di Las Vegas ha dimostrato come sia possibile accedere ad oltre 4 milioni di stanze di Hotel in pochi minuti grazie ad Arduino.

La vulnerabilità è stata individuate nelle chiavi/tessere elettroniche comunemente usate negli alberghi e prodotte dalla Onity dal 1993. Per sfruttare la vulnerabilità Cody ha collegato il suo Arduino alla presa DC della serratura, usata per alimentare la batteria e per codificare le chiavi, e ha estrapolato la chiave a 32Bit senza che gli venga richiesta alcuna autenticazione.

Potete approfondire la vicenda tramite le slide presentate al BlackHat disponibili qui.

Via | Hackers Tribe

Proprio come vi avevamo anticipato, oggi si è tenuta la Black Hat Conference e degli esperti di sicurezza hanno dimostrato quanto sia semplice diffondere malware attraverso l’App Store, compromettendo la sicurezza dei nostri dati su iPhone.

In particolare lo svizzero Nicholas Seriot ha installato un’applicazione da lui stesso realizzata chiamata SpyPhone. Dopo il primo avvio ha dimostrato di avere accesso alla cronologia di Safari, all’ultima posizione GPS registrata, alla cache della tastiera e quindi a tutte le parole digitate, alle caselle email e tanto altro ancora.

Nascondere questo codice malevolo è davvero semplice ed infatti Seriot critica Apple che induce l’utente ad avere una fiducia smisurata nelle applicazioni che vengono approvate in AppStore. Nascondere in maniera molto efficace del codice malevolo è un gioco da ragazzi e l’unica soluzione possibile, per garantire una maggiore sicurezza al consumatore, sarebbe quella di introdurre dei profili di sicurezza, in maniera tale da imporre l’obbligo ad ogni sviluppatore di indicare quali risorse vengono utilizzate dalla propria applicazione. Vedremo se Apple accetterà il consiglio su questo problema che sembra molto “lontano” ma che in realtà potrebbe capitare a chiunque ed in qualsiasi momento con un semplice download di un bel giochino.

Fonte

Anche quest’anno si tiene la Black Hat, ovvero quella conferenza che unisce i migliori hacker di tutto il mondo che si impegnano a bucare i sistemi al fine di permettere alle aziende di migliorare la sicurezza dei propri dispositivi. Quest’anno si sta dando molta importanza all’iPhone, all’AppStore e alle altre piattaforme come Andorid: Tutte a rischio malware.

Un programma scaricato dall’AppStore, può raccogliere una quantità significativa di dati personali legati anche alla leggi sulla privacy. Secondo Nicolas Seriot, un esperto svizzero, un programma è in grado di memorizzare l’indirizzo email, il numero di telefono, la cache di digitazione della tastiera, i registri dei collegamenti WiFi ed anche la più recente posizione GPS.

Con il ritmo frenetico di 10.000 nuove applicazioni che vengono inviate ad Apple quotidianamente, il rischio che passi un malware per errore è  veramente elevatissimo.

“Apple dovrebbe evitare di dire che le App non possono accedere ai dati di altre applicazioni – è l’opinione di Seriot – Questo non solo è concettualmente e praticamente sbagliato, ma ingenera una pericolosa e smodata fiducia nel sistema”. Secondo l’esperto Apple dovrebbe richiedere un profilo di sicurezza agli sviluppatori che illustri in maniera esaustiva tutte le risorse a cui accede l’applicazione. “Questo sarebbe un modo intelligente di sfruttare il processo di esame obbligatorio di App Store”.

Domani Nicolas Seriot dimostrerà praticamente tutto quello che ha detto, avendo realizzato anche un software apposito che girerà su un iPhone e ruberà tutte le informazioni contenute. Vi terremo aggiornati.

Fonte