iTunes e Apple Store sotto attacco: account degli utenti violati
Un attacco condotto da parte di malintenzionati ai danni di iTunes e dell'App Store di Apple ha causato la violazione dell'account di diversi utenti. Utilizzati i dati delle carte di credito per effettuare acquisti
di Fabio Boneschi pubblicata il 06 Luglio 2010, alle 14:06 nel canale SicurezzaApple
Nei giorni scorsi varie fonti online hanno segnalato un pericoloso attacco ai danni di Apple iTunes e dell' App Store. Pare che la minaccia sia davvero pesante poichè sarebbero stati violati gli account personali degli utenti le cui credenziali - carta di credito compresa - sono state utilizzate per l'acquisto di contenuti.
Come segnalato sin dalle prime ore da Engadget, le prime avvisaglie dell'attacco in corso sono state osservate nella sezione Libri: pare che la classifica fosse stata manipolata posizionando ai primi posti contenuti di recente immissione sullo store e di natura quasi sconosciuta. Questo iniziale approccio tutto sommato poco pericoloso per gli utenti si è presto evoluto e alcuni utenti hanno segnalato transazioni effettuate da malintenzionati con importi fino a 600 dollari.
Al momento non si hanno ulteriori dettagli in merito alla vicenda: non si conoscono le modalità con le quali è stato condotto l'attacco e Apple non ha rilasciato informazioni. Non è nemmeno chiara la portata del problema. A questo indirizzo è disponibile una breve sintesi del problema con il cronologico elenco degli accadimenti.
In attesa di ulteriori sviluppi viene consigliato di tenere sotto controllo il proprio account iTunes verificando gli acquisti effettuati, oltre a ciò è consigliabile cambiare la password di accesso e rimuovere dalle proprie credenziali iTunes i dati della propria carta di credito.
26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infopuò darsi come può darsi che usino piattaforme linux anche se è possibile che per immagine usino proprio batterie di xserve
leggendo la news il controllo qualità delle app ha bucato in pieno, ok che ci sono migliaia di app nuove ogni giorno ma un maggior controllo sarebbe utile.
a meno che i programmatori non si siano affidati al social engeneering e contro quello non c'è nulla da fare a parte abituare gli utenti a essere diffidenti con tutto
è la prima cosa che ho pensato, ma siccome si parla di attacco sembra appunto un attacco.
Sennò si sarebbe parlato di phishing, penso.
comunque boh non ho capito nemmeno io
Non a caso è stato anzitutto consigliato di cambiare la password. Placebo? Non so, vedremo.
Per le App approvate, !fazz, sono stati fatti tanti soldi con libri ed App che pur essendo di scarso interesse, non avevano nulla che non andasse. Non vengono rigettate App solo perché al recensore non viene in mente una sola persona che vorrebbe comprarsela
leggendo la news il controllo qualità delle app ha bucato in pieno, ok che ci sono migliaia di app nuove ogni giorno ma un maggior controllo sarebbe utile.
a meno che i programmatori non si siano affidati al social engeneering e contro quello non c'è nulla da fare a parte abituare gli utenti a essere diffidenti con tutto
questa è la fragilità di un sistema chiuso. coi J2ME, non essendoci uno store centrale, c'è meno interesse ad architettare una truffa del genere
spiace che pure android vada nella stessa direzione
Non a caso è stato anzitutto consigliato di cambiare la password. Placebo? Non so, vedremo.
Per le App approvate, !fazz, sono stati fatti tanti soldi con libri ed App che pur essendo di scarso interesse, non avevano nulla che non andasse. Non vengono rigettate App solo perché al recensore non viene in mente una sola persona che vorrebbe comprarsela
leggendo il blog in inglese linkato nell'articolo pare che su applestore sono spuntate alcune rogue application che hanno in qualche modo sottratto le credenziali di itunes o con l'inganno (social engeneering) o sfruttando vulnerabilità, (non si sa come hanno operato)
queste credenziali sono stare utilizzate su itunes store per comprare svariate applicazioni inutili ad alto costo (appsFarm) ovviamente sviluppate dagli stessi developer con lo scopo di sottrarre soldi
Io li ho tolti in attesa di una presa di posizione ufficiale della Apple.
Se arriverà e la riterrò ragionevole, reinserirò i dati.
Qualora fosse stato veramente causato da un attacco brute force con un qualunque dizionario comune, non sarebbe totalmente colpa di Apple quanto più dell'utente incauto.
Io utente medio mi aspetto che i dati siano criptati, stop.
Se arriverà e la riterrò ragionevole, reinserirò i dati.
Qualora fosse stato veramente causato da un attacco brute force con un qualunque dizionario comune, non sarebbe totalmente colpa di Apple quanto più dell'utente incauto.
Presa di posizione di Apple ?
Che ti aspetti che ti dicano ?
Se fosse un buco del loro sistema pensi che ti dicano "ops ... colpa nostra!" ?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".