iOS 9.2.1 non ha portato molti cambiamenti visibili per gli utenti di iPhone, iPad e iPod Touch, ma ha portato una soluzione a un problema di sicurezza molto importante segnalato ad Apple più di 2 anni fa.
Nello specifico, iOS presentava una vulnerabilità che consentiva ad alcuni hacker di rubare i cookie utilizzati da Safari per la navigazione in Internet e di indurre gli utenti di iDevice ad accedere a siti Web progettati per rubare le loro password o rubare la loro identità online.
Anche se il problema è stato segnalato 2 anni fa all'azienda Apple, nessuno a Cupertino aveva fretta di risolverlo, anche se metteva in pericolo gli utenti che navigavano in Internet utilizzando il Wi-Fi pubblico, quindi praticamente chiunque era una possibile vittima di hacker.
Nessuno sa perché Apple abbia scelto di aspettare 2 anni per risolvere un problema di sicurezza così importante, ma puoi stare tranquillo perché a partire da iOS 9.2.1 sarai protetto dagli hacker che tentano di rubarti l'identità online e non solo.
Questo problema consente a un utente malintenzionato di:
- Rubare i cookie degli utenti (HTTP) associati a un sito scelto dall'aggressore. In questo modo l'aggressore può quindi impersonare l'identità della vittima sul sito prescelto.
- Esegui un attacco di fissazione della sessione, accedendo all'utente a un account controllato dall'aggressore: a causa del Cookie Store condiviso, quando le vittime accedono al sito Web interessato tramite Mobile Safari, accederanno all'account dell'aggressore anziché al proprio.
- Eseguire un attacco di cache-avvelenamento su un sito Web scelto dall'aggressore (restituendo una risposta HTTP con intestazioni di memorizzazione nella cache). In questo modo, il JavaScript dannoso dell'aggressore verrebbe eseguito ogni volta che la vittima si collega in futuro a quel sito Web tramite Mobile Safari.
