Microsoft è attualmente al lavoro per la creazione di una patch in grado di bloccare un gran numero di certificati SSL – Secure Socket Layer – falsi, i quali potrebbero essere utilizzati in maniera fraudolenta nei confronti di dispositivi con Windows phone 7.
Nei giorni passati sono stati identificati ben 9 falsi certificati appartenenti ai seguenti domini:
–login.live.com
–mail.google.com
–www.google.com
–login.yahoo.com (3 certificati)
–login.skype.com
–addons.mozilla.org
–“Global Trustee”.
Attraverso tali certificati il device può subire attacchi di tipo spoofing, phishing o essere sfruttati per colpire altri dispositivi attraverso le vulnerabilità dei browser, Internet Explorer compreso.
L’azienda Comodo (ente incaricato per il rilascio di certificati) , sul proprio sito, afferma che “l’attacco è politicamente motivato, infatti all’origine dei certificati troviamo una nazione opposta all’america, quale è l’Iran. Lo scopo di questo attacco è quello di intercettare le comunicazioni online e, l’unica strada, sarebbe quella di accedere alle infrastrutture DNS della nazione“. Frasi molto pesanti e che, con le tensioni attuali, certamente non portano a placare gli animi.
La minaccia è imminente e Microsoft deve correre ai ripari al più presto, se per Windows Desktop è già stato rilasciato l’aggiornamento opportuno, molto probabilmente non tarderà ad arrivare anche per Windows Phone 7, piattaforma anch’essa vulnerabile all’utilizzo di certificati fake.
Se da un lato Microsoft teme per gli utenti dei propri device, dall’altro afferma che ” tali attacchi non sfruttano vulnerabilità di sicurezza dovute ad inadempienze del software“, nonostante siano molto rapidi a scaricare le colpe, stanno cercando di risolvere il problema al più presto.
La patch/aggiornamento potrebbe essere resa disponibile direttamente sui mobile, diventando in questo modo il primo aggiornamento distribuito in over-the-air (OTA), grazie alla funzione di Windows Update direttamente per Windows Phone 7.
Se davvero Microsoft deciderà di distribuire l’aggiornamento seguendo questo iter, verrà finalmente mantenuta la promessa fatta il giorno del lancio di Windows phone 7. L’utilizzo del seguente metodo porta ad una migliore rapidità nella distribuzione delle patch, poichè, sino ad ora, la procedura era affidata agli operatori telefonici o addirittura ai produttori dei cellulari; il risultato è stato, come ci si potrebbe aspettare, di una grandissima confusione.
Non resta che aspettare la prossima mossa, se possedete un dispositivo mobile con Windows, aggiornatelo immediatamente appena la patch verrà distribuita, la prudenza non è mai troppa.