Una settimana ricca di notizie: grave vulnerabilità per PayPal

OpenSSL non ancora sicuro per tutti, nuovo Hacking Team scoperto da Kaspersky Lab, bug importanti per PayPal e Android.

paypal.min

Tra le notizie di questa settimana: le patch per la vulnerabilità Heartbleed di OpenSSL vengono installate a rilento, tante novità dai nostri amici ricercatori del Global Research & Analysis Team, una grave vulnerabilità nell’autenticazione a doppio fattore di PayPal e tanto altro.

Heartbleed e le patch

Sappiamo che il pericoloso bug che ha colpito OpenSSL, e che si è diffuso a macchia d’olio su Internet, consente di rubare informazioni importanti. Anche se non ne parliamo da un po’, il problema non è stato risolto del tutto. Ovvero, ogni settimana leggiamo nuove ricerche e report dove si consiglia caldamente agli utenti di aggiornare alcuni software o sistemi per installare le patch per OpenSSL pubblicate dalle case produttrici. Purtroppo, una nuova ricerca evidenzia che, l’entusiasmo iniziale di volersi sbarazzare di questo bug capace di rubare le chiavi crittografiche, sembra scemare.

Tra dieci anni o forse più ci saranno ancora migliaia di sistemi vulnerabili, alcuni anche di infrastrutture critiche.

Rob Graham di Errata Security ha analizzato uno dei principali canali Internet di traffico criptato per verificare quanti sistemi continuino ad utilizzare una versione vulnerabile di OpenSSL.  Alla prima analisi, alcuni giorni dopo essere stato reso pubblico il bug, vi erano 600 mila sistemi vulnerabili. La seconda analisi era abbastanza incoraggiante, con 300 mila sistemi che avevano installato la patch; ciò voleva dire che metà dei sistemi vulnerabili alla prima analisi in un mese erano stati messi in sicurezza. Invece, alla terza analisi, quasi tre mesi dopo la notizia del bug, è stato rilevato che 300 mila sistemi rimangono vulnerabili.

“Questo dato indica che gli utenti hanno smesso di installare le patch”, ha scritto Graham sul suo blog. “Nei prossimi dieci anni dovremmo registrare una lieve diminuzione dei dispositivi a rischio, dal momento che i vecchi sistemi poco a poco verranno sostituiti. Tra dieci anni o forse più, tuttavia, ci saranno ancora migliaia di sistemi vulnerabili, alcuni anche di infrastrutture critiche”.

Tool per la sorveglianza e campagne fraudolente

Un team di ricercatori di Kaspersky Lab insieme a Citizen Lab della Munk School of Global Affairs e l’Università di Toronto hanno rilasciato un report sulla controversa società italiana Hackingteam. Parce che HackingTeam venda “spyware legali” ai governi e “soluzioni offensive” per le indagini informatiche alle forze dell’ordine di tutto il mondo. Citizien e Kaspersky Lab hanno esaminato l’attività di HackingTeam per un po’, tuttavia la nuova ricerca, pubblicata questa settimana, esamina i tool di spionaggio mobile di HackingTeam.

I prodotti della società italiana darenne ai governi e alle forze dell’ordine la possibilità di monitorare località specifiche, rubare dati dai dispositivi, usare il microfono in real time, intercettare messaggi vocali e SMS via app come Skype, WhatsApp, Viber e molte altre.

Inoltre, questa settimana, i ricercatori di Kaspersky Lab hanno parlato di un’interessante campagna fraudolenta conosciuta come Luuuk. La campagna ha permesso agli hacker di rubare da un banco europeo più di mezzo milione di euro. Per farlo hanno utilizzato una versione personalizzabile di Zeus e sono riusciti così a truffare circa 200 clienti con una serie di attacchi man-in-the-browser.

Seria vulnerabilità colpisce la sicurezza di PayPal

Mercoledì scorso è emersa una vulnerabilità riguardante il modo in cui PayPal gestisce alcune richieste realizzate dai clienti che usano i dispositivi mobili. Tale vulnerabilità consentirebbe ai cybercriminali di bypassare il meccanismo dell’autenticazione a doppio fattore per poi trasferire il denaro dall’account della vittima a un altro account.

Il problema ha a che vedere con la gestione da parte di PayPal del sistema di autenticazione nelle sue app per iOS e Android. PayPal è a conoscenza del problema da marzo (sono stati informati dai ricercatori di Duo Security); per il momento hanno adottato un workaround (una soluzione temporanea al problema), ma la patch definitiva si avrà solo per la fine di luglio. La vulnerabilità che colpisce la sicurezza di PayPal è piuttosto seria; gli utenti dovrebbero tenere sotto controllo i propri account fino a quando non è tutto a posto. 

Risolto un bug su Android

È stata individuata una grave vulnerabilità su Android 4.3 nell’esecuzione del codice; in poco tempo è stata risolta su KitKat, l’ultima versione del sistema operativo. Purtroppo, questa vulnerabilità potrebbe interessare praticamente tutti gli utenti Android. La cosa preoccupante è che il sistema delle patch di Android si appoggia interamente sulla volontà delle case produttrici dei dispositivi mobili di mettere a disposizione le patch di Google ai propri utenti, il che potrebbe rallentare di molto le procedure.

Consigli