falla
Apple aggiorna iOS patchando una grave falla

Quante volte è capitato a tutti noi di inserire le password o comunque delle credenziali d’accesso durante una semplice navigazione web da mobile? Praticamente è un qualcosa che accade quotidianamente e non rendendocene conto rischiamo che la nostra privacy venga violata.

Un team di ricercatori informatici del Regno Unito ha scovato una falla in un sito web malevolo che utilizzando i sensori di movimento presenti oramai su ogni device riusciva ad identificare i nostri codici di accesso.

 

Il sito utilizzava un semplicissimo exploit Javascript per eseguire il malware ed una rete neurale per stabilire la correlazione tra i dati dei sensori ed i PIN utilizzati.

La falla, scoperta lo scorso anno, è stata corretta da Apple bloccando la raccolta non autorizzata dei dati. Anche Google è a conoscenza del problema ma a differenza di Apple che ha integrato la patch in iOS 9.3, questa falla mette tutti i device Android a rischio.

Si potrebbe pensare che i movimenti del device durante l’inserimento di una password siano casuali ma secondo alcuni studi e test effettuati non è così.

I test effettuati hanno avuto una percentuale di riuscita del 100%.

Tutto ciò è possibile perchè applicazioni mobile e siti web non richiedono l’utilizzo dei sensori permettendo a programmi e processi in background di utilizzare questi sensori e scoprire informazioni sensibili quali la durata di una chiamata o in generale le nostre abitudini arrivando anche alla scoperta di PIN e Password.

 

La cosa più preoccupante è che alcuni browser permettono, alle identità malevoli, il pieno controllo dei nostri dati personali. Ad esempio, se il nostro device è infetto e accediamo alla nostra banca online o ad un qualcosa di privato, l’hacker riuscirà senza il minimo sforzo a spiare ogni nostro dettaglio.

 

Come ci si può proteggere? Sicuramente un passaggio da fare e da non sottovalutare è quello di attivare, ove possibile,  la verifica in due passaggi (chiamata anche verifica a due fattori) e prestare la massima attenzione alle autorizzazioni richieste da ogni singola app.