Introduciamo le notizie di questa settimana con uno sguardo all’evento dei prossimi giorni, ovvero la fine del supporto per Windows XP, il sistema operativo di successo (ancora oggi utilizzato) ma al contempo vulnerabile. Tranquilli, ne parleremo approfonditamente; nel frattempo vediamo cosa è successo nella settimana appena trascorsa.
Per esempio, abbiamo ancora notizie sui bitcoin e parleremo anche di alcuni problemi di sicurezza per Tesla S. Poi faremo un po’ di chiarezza su come funziona il phishing a livello globale e analizzeremo quali problemi sono stati risolti nel browser di Apple Safari. Parleremo poi dei bug riscontrati nelle smart TV della Phillips e di molto altro ancora.
Secondo un report di Reuters, un giudice federale del Texas ha ordinato al fondatore di Mt. Gox Mark Karpeles, di presentarsi alla corte statunitense per rispondere ad alcune domande in merito alla bancarotta del servizio di scambio di bitcoin. Mt Gox, che una volta era la piattaforma più importante a livello mondiale dell’ormai celebre cripto-moneta, lo scorso febbraio ha chiuso i battenti con perdite per circa 400 milioni di dollari (circa 290 milioni di euro). A quanto pare, Karpeles ha dichiarato bancarotta avvalendosi del cosiddetto “Chapter 15” del codice statunitense che regola le procedure fallimentari; ha presentato il caso alla corte texana (che ora richiede un colloquio) per evitare una class action intentata contro di lui a Chicago. Il giudice della corte del Texas sostiene che, se Karpeles vuole ottenere protezione dalla corte, per lo meno dovrebbe presentarsi in tribunale per dare delle spiegazioni.
Chris Brook di Threatpost ritiene che, in alcuni modelli di Smart TV di Phillips con accesso a Internet, è presente una vulnerabilità grazie alla quale un cybercriminale potrebbe accedere a delle informazioni personali degli utenti e a dei file di configurazione del televisore. Allo stesso modo, nel caso si connetta una chiavetta USB al televisore, grazie a questa vulnerabilità si potrebbe avere accesso ai dati in essa contenuti. Se l’utente naviga su Internet utilizzando la Smart TV, il cybercriminale potrebbe impossessarsi dei cookie, attraverso i quali riuscirebbe a entrare in alcuni importanti siti Internet o account online. Il problema risiede in una funzionalità della Wi-Fi chiamata Miracast, normalmente attiva di default e protetta da una password fissa e predeterminata. Grazie a questa password, qualsiasi persona nelle vicinanze dell’adattatore Wi-Fi del dispositivo può collegarsi al televisore e accedere alle sue molteplici funzionalità.
Dennis Fisher, sempre di Threatpost, ha riscontrato che Tesla S, la popolare auto elettica dalle grandi prestazioni, utilizza un sistema di autenticazione ad un solo fattore; mediante un’applicazione per smartphone è possibile gestire varie funzionalità dell’automobile, tra le quali aprire e chiudere le portiere. Il ricercatore Nitesh Dhanjiani ha notato che i nuovi proprietari dell’autovettura devono registrare un account sul sito Internet di Tesla per poi accedere all’applicazione per iPhone, protetta da password. L’applicazione consente di gestire l’apertura e chiusura delle portiere, l’uso delle sospensioni, dei freni e del tettuccio apribile. Il vero problema è che non è stato stabilito un limite di tentativi per il login, di conseguenza un cybercriminale potrebbe effettuare un attacco di forza bruta per cercare d’individuare questa password relativamente breve. In effetti, è abbastanza facile trovare una password di sei cifre quando si ha a disposizione un numero infinito di tentativi.
Un aggiornamento breve e un promemoria per gli utenti Apple. Il gigante di Cupertino ha risolto più di 25 bug riscontrati nel browser Safari, alcuni dei quali erano piuttosto seri. Vi consigliamo, se già non lo avete fatto, di scaricare gli aggiornamenti il prima possibile.
I nostri ricercatori hanno pubblicato su Securelist un articolo in lingua inglese davvero interessante: si tratta della prima parte di un’analisi molto accurata delle minacce e attacchi di phishing che nel 2013 hanno interessato gli istituti finanziari di tutto il mondo. Facendo una sintesi ridottissima, il 31% di tutti gli attacchi di phishing del 2013 è stato diretto a istituti finanziari; il 22% del volume totale degli attacchi è stato effettuato grazie alla creazione di siti Internet falsi delle banche individuate come potenziali vittime, una percentuale raddoppiata rispetto al 2012. Meno del 60% degli attacchi di phishing si è concentrato solamente su 25 brand molto importanti a livello internazionale, mentre il restante 40% si è spalmato su oltre 100 istituti finanziari.
Per concludere, riportiamo una notizia della BBC. Un bambino di 5 anni di San Diego (California) senza saperlo ha scoperto una vulnerabilità nella famosa piattaforma di gioco online XBOX Live, grazie alla quale è riuscito a entrare nell’account del padre senza inserire la password. Il bambino, che si chiama Kristoffer Von Hassel, ha cercato di accedere, senza successo, all’account Web della XBOX Live. Dopo aver inserito la password sbagliata, il sistema ha dato un altro tentantivo per reinserire nuovamente la password. Schiacciando per caso la barra spaziatrice, come per magi, il bambino è riuscito a entrare nell’account.
“Ero nervoso, avevo paura che il mio papà mi scoprisse”, ha detto Kristoffer all’emittente locale KGTV. “Ho pensato che qualcuno avrebbe rubato la Xbox”.
Secondo la BBC il padre di Kristoffer, che lavora nel campo della sicurezza IT, ha già riferito alla Microsoft tutte le informazioni che riguardano la vulnerabilità. Da parte sua, la Microsoft ha già risolto il bug e ha ringraziato il bambino per l’aiuto.