[section_title title=App “lasciate” vulnerabili per mesi: a rischio milioni di utenti- parte 1First page title]
Milioni di utenti sono stati esposti a minacce man-in-the-middle a causa di applicazioni mobile lasciate vulnerabili per mesi. “Lasciate” perché, sebbene la loro vulnerabilità SSL fosse stata segnalata da mesi, gli sviluppatori sono stati lenti nell’effettuare le patch. E’ quanto emerge dal report sulle minacce individuate da McAfee Labs nel mese di febbraio, pubblicato oggi da Intel Security. L’analisi, appunto, prende in esame il panorama degli attacchi mobile e la segnalazione delle difficoltà degli sviluppatori di app nell’adottare patch critiche delle vulnerabilità Secure Sockets Layer (SSL), che potenzialmente hanno impatto su milioni di utenti. 
Il report mette in luce dettagli sui sempre più popolari kit exploit Angler e richiama l’attenzione sui programmi potenzialmente indesiderati (PUP) che cambiano le impostazioni di sistema e carpiscono informazioni personali senza che gli utenti se ne possano accorgere.
I ricercatori di McAfee Labs hanno scoperto che alcuni fornitori di applicazioni mobile sono stati lenti nel risolvere anche le vulnerabilità SSL più semplici, come ad esempio la convalida errata di certificati digitali, nonostante l’elenco delle applicazioni con tale vulnerabilità fosse stato reso noto già a settembre dal Computer Emergency Response Team (CERT) della Carnegie Mellon University. Ebbene: nel mese di gennaio McAfee Labs ha testato le 25 applicazioni più popolari presenti nella lista del CERT e ha scoperto che in ben 18 casi ancora non erano state applicate le patch. I ricercatori di McAfee Labs hanno simulato attacchi man-in-the-middle (MITM) che hanno intercettato con successo informazioni condivise durante le sessioni SSL apparentemente sicure. I dati vulnerabili riguardavano nomi utente e password, e in alcuni casi, le credenziali di accesso agli account social e ad altri servizi di terze parti. Anche se non ci sono prove che queste vulnerabilità siano state sfruttate, si tratta di applicazioni scaricate centinaia di milioni di volte. Alla luce di questi numeri, i risultati di McAfee Labs indicano che il ritardo degli sviluppatori di applicazioni mobile nell’effettuare le patch per le vulnerabilità SSL ha potenzialmente esposto milioni di utenti al rischio di diventare bersaglio di attacchi MITM.
