Apple ha recentemente rilasciato iOS 7.0.6 con un importante aggiornamento di sicurezza per gli utenti di iPhone, iPad e iPod touch. Se possiedi un dispositivo iOS, è fondamentale installare subito tale aggiornamento. Anche se la descrizione della correzione del bug 7.0.6 era inizialmente vaga, ulteriori informazioni indicano quanto potenzialmente grave sia il problema di sicurezza. In pratica, qualcuno potrebbe intercettare i dati in base alle circostanze appropriate. Mentre il problema è stato risolto sul lato iOS, per il momento esiste lo stesso difetto di sicurezza per OS X, che è stato corretto con OS X 10.9.2.
Sì, Apple sicuramente introdurrà una correzione per gli utenti Mac nel prossimo futuro, e tutti gli utenti Mac dovrebbero installare subito tale aggiornamento quando sarà disponibile. Fino ad allora, ci sono alcune semplici precauzioni che puoi seguire per proteggere te stesso e il tuo Mac dai danni. Sebbene queste siano indicazioni generali per prevenire problemi legati al bug di sicurezza SSL/TLS attivo di OS X, questi semplici suggerimenti costituiscono un buon protocollo di sicurezza di rete da seguire in generale. Gli utenti esperti probabilmente sapranno già cosa fare (o meglio, cosa non fare), ma se non conosci le buone pratiche di rete, potresti imparare qualcosa di nuovo.
Aggiornamento: gli utenti Mac possono ora scaricare l’aggiornamento OS X 10.9.2 per risolvere completamente questo problema di sicurezza. I consigli che seguono rimangono comunque validi per migliorare la sicurezza generale della rete e del Wi-Fi.
3 semplici suggerimenti per proteggere un Mac dal difetto di sicurezza SSL/TLS
- Evita tutte le reti non affidabili. Quel misterioso router Wi-Fi aperto a cui ti connetti quando Internet è lento? Non farlo. Il router che non richiede una password al bar locale? Evitalo. Ricorda, non unirti mai a reti wireless non attendibili fino a quando la macchina non è stata riparata.
- Controlla il tuo browser web utilizzando GoToFail per verificare se il browser è vulnerabile. Se riscontri vulnerabilità, considera di utilizzare temporary un altro browser aggiornato fino a quando il difetto non sarà corretto. Le ultime versioni di Chrome e Firefox sono attualmente considerate sicure.
- Assicurati che la rete Wi-Fi di fiducia utilizzi la sicurezza WPA2 attiva, richiedendo una password per la connessione al router. Anche se questo non garantisce una protezione totale, riduce notevolmente il rischio di attacchi. Le reti aperte e prive di password sono rischiose; evita di usarle. E se possiedi un router Wi-Fi, ricorda che WEP è obsoleto e non sicuro: utilizza sempre WPA2 per le password Wi-Fi.
Utilizzare un browser diverso e una rete protetta è già un buon inizio, ma non dimenticare l’importanza di essere sempre su una rete sicura e di applicare le patch ai dispositivi non appena possibile. Per comprendere meglio il perché, un attacco teorico che sfrutta la vulnerabilità SSL/TLS è descritto da CrowdStrike in questo modo:
«Per attuare l’attacco, un avversario deve essere in grado di effettuare connessioni di rete Man-in-The-Middle (MitM), che possono essere eseguite se si trova sulla stessa rete cablata o wireless della vittima. A causa di un difetto nella logica di autenticazione su piattaforme iOS e OS X, un utente malintenzionato può ignorare le routine di verifica SSL/TLS durante l’handshake iniziale della connessione. Ciò consente a un avversario di mascherarsi come un endpoint remoto affidabile, come il proprio fornitore di webmail preferito, e di eseguire un’intercettazione completa del traffico crittografato tra te e il server di destinazione, oltre a dare loro la possibilità di modificare i dati in volo.»
In parole povere, un attaccante potrebbe utilizzare questo difetto per intercettare dati sensibili come e-mail, password e informazioni bancarie. Questo è il motivo per cui è fondamentale evitare reti non affidabili, per ridurre significativamente i rischi.
Chi è interessato può leggere ulteriori informazioni tecniche sul bug di ImperialViolet e altri dettagli semplificati su Wired.
In sintesi: i dispositivi iOS devono essere aggiornati a iOS 7.0.6 o iOS 6.1.6 ORA, utilizzando una rete affidabile. Gli utenti iOS dovrebbero dimenticare attivamente le reti Wi-Fi di cui non si fidano. Nessun utente di alcun dispositivo deve unirsi a reti non affidabili fino a quando non installano la patch appropriata; è consigliabile evitarle in generale. Tutti gli utenti Mac devono installare immediatamente l’aggiornamento di sicurezza per OS X non appena sarà disponibile (sì, lo pubblicheremo quando uscirà). Non è una garanzia, ma seguendo questi consigli, sicuramente sarai in una posizione migliore.
Sicurezza aggiornata nel 2024
Nel 2024, la sicurezza dei dispositivi Apple continua a essere una priorità. Con l’aumento delle minacce informatiche, è fondamentale rimanere informati e aggiornati sui sistemi di sicurezza. Apple ha implementato nuove misure di protezione, come la verifica in due passaggi e l’autenticazione biometrica, che rendono più difficile per i malintenzionati accedere ai tuoi dati. Assicurati di attivare queste funzionalità sui tuoi dispositivi.
Inoltre, le vulnerabilità SSL/TLS sono sempre sotto osservazione. È consigliabile controllare regolarmente gli aggiornamenti di sicurezza e le patch per il tuo sistema operativo. Ricorda, la sicurezza informatica è un campo in continua evoluzione, e rimanere proattivi può fare la differenza nella protezione dei tuoi dati.