Stando al leak di dati trafugati dalla società italiana più controversa del momento, risulta che Apple abbia concesso ad Hacking Team un certificato digitale come iOS enterprise developer, il quale permette di firmare le app, allo scopo di farle apparire come sicure ed approvate.
[ad#alberto-schiabel-1]
Ecco la stringa colpevole:
Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT.
Tale metacodice avrebbe teoricamente permesso ad Hacking Team di inviare alla vittima designata, tramite mail o pubblicazione in un sito (non nell’App Store), un’app malware sia per melafonino che per iPad, che apparirebbe come applicazione a contenuto sicuro per via della firma certificata.
In tale modo, è possibile installare software malevovi nei dispositivi iOS, che tanto vengono acclamati per essere assolutamente sicuri ed immuni a problematiche del genere.
In seguito a questo bypassing clamoroso dei controlli previsti per la pericolosità delle app, sarà interessante vedere in che modo Apple ribatterà alle accuse, e in che maniera cercherà di dichiararsi innocente ed estranea alla questione.
Se queste prove dovessero rivelarsi effettivamente concrete e confermate, che genere di polverone pensate si scatenerà, e con che conseguenze? Fatecelo sapere nei commenti.
Meglio così con qualche virus si smontano un po gli utenti Apple. ..
purtroppo non si possono installare app non presenti nello store senza jailbreak… quindi al limite gli unici che si prendono qualche virus sono i dispositivi con jailbreak… ma chi ha scritto l’articolo queste cose non le sa xD triste a dir poco
Mi sembra un po’ faziosa la notizia, le app firmate con il certificato in questione non possono comunque essere installate fuori da App Store se non su dispositivi jailbroken. Quel certificato sembra ottenibile da qualsiasi azienda registrata al mondo. Il coinvolgimento di Apple mi sembra inesistente!
Senza contare che basterebbe invalidare il certificato con un aggiornamento di sistema automatico… mah.
non posto il link per non fare spam, ma “il disinformatico” sta trattando la questione molto meglio. e comunque si, Apple sembra abbia dato un certificato ad HT per poter installare il malware su iOS non tramite l’app store.
Sto seguendo anche io sul disinformatico, ma comunque questo è un blog che tratta principalmente di Android, quindi penso che questo articolo sia comunque piuttosto esplicativo, per un blog che non tratta “nativamente” di questo genere di argomenti ;)
Lungi da me giustificare una grande azienda come Apple, ma ciò che è giusto è giusto: con solo quel certificato non è possibile installare app su dispositivi iOS non jailbroken che non hanno esplicitamente accettato quel certificato per policy aziendali.
Si possono installare anche su dispositivi non jailbroken… O pensi che tutti i dispositivi Apple aziendali (quindi adibiti a ricevere app fuori dall’app store) abbiano attivi i permessi di root?
Ciò che dici tu lo possono fare tutti gli sviluppatori di app, non è una cosa per i soli dispositivi Apple aziendali
Le app si possono installare su qualsiasi dispositivo sì (l’azienda era un esempio, dato che sono loro ad avere app “su misura” solitamente), ma per pubblicare le app fuori da app store devo avere un certificato enterprise
Se si mette come indicato in varie app come vShare una data nel iphone specifica si riesce a scaricare tutto da safari
L’azienda più scandalosa “di sempre!”
Apple retrocessa in lega pro con 10 punti di penalizzazione
e mercato bloccato fino a luglio 2016
Non ho capito perfettamente una cosa: tramite quella stringa questi sviluppatori erano autorizzati a fare installare applicazioni malevoli?
Tramite quella scritta le applicazioni venivano riconosciute come sicure ed approvate dai vari iphone e ipad..
Secondo me chi ha scritto l’articolo (compresa la fonte, Attivissimo) non ha capito bene come funziona : il certificato Entreprise Developer puo’ ottenerlo qualsiasi azienda registrata con un “DUNS”, di fatto, qualsiasi azienda “esistente”. Questo certificato permette, rispetto al classico “developer” di distribuire applicazioni anche all’esterno dello store, per un uso aziendale. Di fatto, l’utilità è quella di limitare l’accesso alle APP ad un certo numero di device ben definito registrando sulla console App Store il loro S/N, appunto per evitare che dei device “non entreprise” possano accedere a delle app professionali.
Ok, ma cosa c’entra questo con i malware?
A mio parere non molto. Di fatto l’applicazione va:
1. Sottomessa allo store, che quindi deve comunque convaldiarla/verificarla
2. Scaricata dallo store stesso come archivio
3. Messa a disposizione su un sito terzo
Non possono esserci modifiche all’app dopo la fase 1, quindi la potenzialità di avere un malware è la stessa che hai quando la scarichi dallo store.
E poi ripeto, per quel che ne so il certificato entreprise serve principalmente per restringere l’accesso all’APP, quindi la potranno usare solamente coloro che sono autorizzati a monte
(Magari mi sbaglio).
Il certificato entreprise non è assolutamente differente dal punto di vista della sicurezza di quello “classico” developer, salvo per questa possibilità di una distribuzione limitata ai terminali entreprise.
Grazie
Si,ed apple non le ha controllate dando le autorizazioni a caso
Non ti curar di loro, ma guarda e passa…
Non si cura di loro ma frega e incassa!
MAAA COMEEEE? E LA SICUREZZA DI IOS?! Buffoni…
Il bello è che IOS è protetta dalle app comtrollate davvero…queste dell’articolo non sono firmati originali e dentro cè il virus haha speriamo che fallisca se la baccano
Non succederá nulla perchè apple è brava e se la cava in situazioni del genere.
La cosa mi lascia perplesso…
[Non voglio creare flame] Potrete avere anche ragione di questo fatto scandaloso, ma mettere a confronto la sicurezza di iOS e Android non ha senso, come dice l’articolo è un semplice certificato, non una app dell’App Store, quindi non credo che nessuno installi un certificato così, a caso. E se criticate proprio tanto, Hacking Team di certo non aveva bisognodi alcuna autorizzazione per mettere malware su Android, creano una app fake e la mettono sul Play Store… e il gioco è fatto!
Quando l’ignoranza dilaga… Chiunque si iscriva al Dev Center può avere quel certificato per installare le proprie app sui propri dispositivi… -.-”
sono scioccato da questo articolo lol… l’incompetenza e il livello di “fanboyaggine” dello scrittore sono su un altro livello
Masochisti? Mmm… non fermarti a ciò che appare, prova a guardare anche dietro le quinte
l’articolo più triste di sempre mai letto su androidiani xD … misà che voi non sapete minimamente come funzioni iOS… cortesemente, evitate di parlare di questioni di cui ci capite meno di anziani di 80 anni
Attenzione a quello che dite. “Entreprise developer” per quel che ne so è un sistema che permette di LIMITARE l’accesso ad una app a dei devices di un’azienda: di fatto sì, posso distribuire l’app al di fuori dell’Apple store, ma solo per una serie di devices di cui conosco il serial number, che andrà registrato in modo specifico.
Se provato sarebbe una figura di merda colossale
se volete fare articoli faziosi poi perdete di credibilità. Suggerisco di leggere il Disinformatico, ha trattato l’argomento in modo più serio che “Apple coinvolta nello scandalo..”
beh, i fan ignoranti sicuramente vi leggeranno come sempre, chi legge in modo meno fazioso invece soppeserà diversamente.
Come al solito l’ignoranza dilaga…….fate parlare gente del settore…….quello è un semplice certificato ottenibile da qualsiasi azienda che abbia intenzione di dotarsi si app aziendali senza che siano necessariamente pubblicate nel apple store, ma riguarda solo dispositivi conosciuti e particolari condizioni. I modi in cui installavano su IOS il malware sono altri e non possono essere rilevati. Cosa più semplice invece per Android che di facciata potrebbe essere più esposto ai malware ma permette all’utente più controllo del proprio device e dalla propria password.
se la tua è ironia, non mi sembra molto solida…
porco schifo…. Va beh che non cambia molto. Ma sapere che hanno agito così, cmq una brutta cosa