21 ian. 2016 | 16:02

Un bug care permitea furtul identității utilizatorilor, reparat de Apple după doi ani

ACTUALITATE
Un bug care permitea furtul identității utilizatorilor, reparat de Apple după doi ani

Apple tocmai a reparat o mare vulnerabilitate din sistemul de operare iOS, care permitea hackerilor să fure ID-ul utilizatorilor conectați la site-urile ce folosesc cookie-uri de autentificare necriptate.

Aparent, vulnerabilitatea a fost găsită de o companie de securitate din Israel numită Skycure. Aceasta a arătat că vulnerabilitatea apărea în momentul în care cookie-urile din Safari erau folosite de paginile de net ale rețelelor WiFi care cer utilizatorului să introducă datele personale pentru a căpăta acces la Internet Un exemplu sunt rețelele de WiFi din anumite magazine sau restaurante care cer crearea unui cont special cu care utilizatorul să se poată conecta la Internet.

Pentru a fura datele utilizatorilor, hackerii foloseau un ”captive portal” (pagină de net dedicată rețelelor WiFi) artificial pe care îl asociau unei rețele de WiFi publice sau extrem de frecventate. Când cineva cu un iPhone sau un iPad încerca să se conecteze la rețea, site-ul fals înregistra toate cookie-urile utilizatorului, incluzând username-ul și parola.

De aici mai departe hackerii puteau folosi ID-ul utilizatorului pe site-ul cu pricina. De asemenea, aceștia îl puteau inregistra pe utilizator pe un cont deținut de ei iar prin acel cont puteau primi toate cookie-urile necesare pentru alte site-uri atunci când utilizatorul normal le accesa prin intermediul conexiunii corupte de WiFi.

Prima oară când Skycure au raportat această problemă serioasă către Apple a fost în 2013. Abia săptămâna trecută gigantul american a luat această problemă în serios și a fixat bug-ul odată cu lansarea lui iOS 9.2.1. Update-ul nu mai permite accesul paginilor de Internet, ce aparțin rețelelor WiFi, la cookie-urile din Safari.