Il rilascio di iOS 8.4.1, ha portato più di un semplice fix all’app Musica, come Apple ci ha fatto credere fino ad ora.
È stato corretto un bug con il nuovo iOS 8.4.1 davvero pericoloso, che apriva le porte a malintenzionati all’interno dell’app Mail, sui dati di configurazione e sulle credenziali di servizi di altre app.
Soprannominato “Quicksand” dai suoi scopritori della società di sicurezza Appthority, la vulnerabilità derivava da un problema di autorizzazioni nel sistema di configurazione. Questo sistema, introdotto con iOS 7 anni fa, rende più facile per le imprese l’amministrazione dei dispositivi con iOS, fornendo un meccanismo integrato per la distribuzione e l’archiviazione dei dati di configurazione delle app personalizzate, come ad esempio gli URL del server e le informazioni della rete aziendale.
Ad esempio, un amministratore di rete potrebbe precaricare un file di configurazione per una qualsiasi applicazione di messaggistica aziendale. Una volta installata, l’applicazione sarà in grado di leggere il file e di configurare automaticamente lo stesso senza l’intervento dell’utente.
Mentre il sistema è stato progettato per limitare l’accesso a tali file per le applicazioni per cui sono destinati, Appthority ha scoperto che i file erano in realtà leggibili da qualsiasi applicazione installata sul dispositivo.
Ciò significava che gli aggressori potrebbero aver rubato dei dati di configurazione, che spesso includono le credenziali di accesso aziendali segrete.
Apple ha quindi effettuato questa patch, sul nuovo iOS 8.4.1, all’insaputa di tutti, per non destare ovviamente troppi sospetti, e non alzare polveroni.
[via]