I ricercatori di sicurezza della Symantec hanno scoperto una nuova vulnerabilità su iOS chiamata “Trustjacking”, sfruttabile quando l’utente va ad autorizzare un computer per l’accesso ai dati presenti su iPhone o iPad.
Questa vulnerabilità è stata scoperta quasi per caso, mentre alcuni ricercatori della Symantec stavano caricando i loro iPhone. Secondo Adi Sharabani, Senior Vice President di Symantec per la sicurezza dei sistemi operativi, una volta che un utente autorizza un computer durante la ricarica del dispositivo, “tutto è possibile“.
Questa vulnerabilità è il risultato di una funzionalità di iTunes che consente di sincronizzare i dispositivi in modalità wireless tramite Wi-Fi. Questa funzione potrebbe quindi consentire a un malintenzionato di scaricare dati e immagini da un dispositivo senza che l’utente se ne accorga, quando ovviamente il computer è stato autorizzato anche in passato. Spesso, tale autorizzazione viene concessa senza troppe preoccupazioni, anche quando non si tratta del proprio computer.
Roy, uno dei ricercatori della Symantec, ha infatti scoperto che dal suo computer era possibile accedere ai dati dell’iPhone – sotto carica – di un suo collega che alcune settimane fa aveva concesso quell’autorizzazione. Una volta data conferma, infatti, quando l’iPhone è sotto carica rimane sempre possibile per chi è davanti al computer accedere ad alcuni dati e alle foto del dispositivo. E’ vero che iOS 11 aggiunge un ulteriore livello di sicurezza richiedendo la password quando ci si collega ad un nuovo computer, ma anche in questo caso la maggior parte degli utenti la inserisce senza preoccuparsi troppo delle conseguenze, pensando magari che senza autorizzazione il computer non invia energia per ricaricare l’iPhone (cosa, questa, ovviamente non vera).
Roy ha quindi iniziato ad indagare per capire quali operazioni è possibile effettuare quando un telefono, autorizzato in precedenza, è sotto carica ed è collegato alla stessa rete Wi-Fi del computer.
Ad esempio, un malintenzionato potrebbe installare un malware precedentemente preparato sul telefono o avviare un backup per raccogliere dati come foto ed SMS.
Se non volete correre rischi, per ripristinare e azzerare tutte le autorizzazioni passate, bisogna andare in Impostazioni> Generali> Ripristina e cliccare su Ripristina posizione e privacy.