E’ notizia di qualche giorno fa la scoperta di una nuova vulnerabilità nella sicurezza di OS 7.0.4. Il bug scoperto e pubblicato con un video su youtube da Bradley Williams (bwilliams210) interessa una funzione sconosciuta del componente “Find My Phone” e consente di disabilitare la funzione di localizzazione dell’iPhone anche senza conoscere la password dell’account iCloud, permettendo così anche ad un neofita di avere pieno possesso di un iPhone o un iPad altrui.
Cos’è la funzione “Trova il mio iPhone”?
“Trova il mio iPhone” è la funzione integrata in iOS 7 che, abbinato a un account iCloud, permette di geolocalizzare un iPhone o un iPad smarriti, purché questi siano connessi alla rete Internet. Collegandosi alla versione Web di iCloud è quindi possibile visualizzare su una mappa il proprio device verificandone la posizione ed eventualmente bloccarlo, oppure forzare l’emissione di un suono di riconoscimento. Attivazione e disattivazione di queste funzioni richiedono la password dell’account Apple dell’utente.
Come funziona la falla di sicurezza di “Trova il mio iPhone”?
Come mostrato nel video, il bug può essere riprodotto su qualsiasi “Device” che abbia iOS 7.0.4 installato. Basta semplicemente accedere alle impostazioni di iCloud, selezionare il vostro account, cambiare la password con una serie casuale di caratteri. Dopo aver cliccato su fine, vi verrà mostrato un messaggio di errore, quindi cliccate su “OK” e poi “Annulla”. Fatto questo tornate nelle impostazioni e aprite l’accout iCloud premendo sul tasto “Descrizione”, quindi cancellate il campo, lasciatelo vuoto e premete “Fine”. Dopo aver eseguito questi passaggi l’opzione “Trova il mio iPhone” verrà disabilitata senza la necessità di inserire la password di iCloud.
Fortunatamente, il metodo in questione non disabilita l’Activation Lock di Apple, quindi se si prova a ripristinare il dispositivo verrà chiesta comunque la password dell’account Apple del proprietario. Inoltre sembra che a Cupertino stiano lavorando per una risoluzione del problema che di sicuro verrà corretto con il rilascio di un aggiornamento oppure con iOS 7.1.
Come proteggersi dal bug di “Trova il mio iPhone”?
1) Il bug funziona solo se il dispositivo non ha attivato l’accesso tramite password o Touch ID. Pertando impostando un codice di protezione del telefono oppure abilitando il riconoscimento dell’impronta digitale è possibile rendere più difficile l’accesso alle funzioni del telefono.
2) Se avete eseguito il jailbreak allora potete installare il tweak Applocker il quale vi permette di impostare una password di accesso al pannello delle impostazioni.
3) Un’altra possibilità è quella di impostare una “restrizione” andando su Impostazioni > Generali > Restrizioni > Accounts e selezionare non permetti cambiamenti, in questo modo non è possibile eseguire nessuna modifica sulle impostazioni di iCloud
http://youtu.be/QnPk4RRWjic
Lascia un commento