Ciao Pippo,
si mi ricordo quel post ....... e mi son fatta l'illusione che un iPhone non sottoposto a “jailbreak” fosse quasi "un porto sicuro".....
e questo rafforzato anche dall'idea "allo stato attuale gli AV per Android e iOS sono un bisogno indotto con pratiche commerciali poco corrette.
Un bisogno di cui non abbiamo bisogno" (Cit.)
Invece l'interpretazione corretta era: non ne abbiamo bisogno perchè, allo stato attuale, non sono di nessuna utilità ......
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi.
Cris ha scritto:mi son fatta l'illusione che un iPhone non sottoposto a “jailbreak” fosse quasi "un porto sicuro"
E quasi certamente lo è!
Le applicazioni di iOS si possono scaricare ed installare esclusivamente dall'App Store di Apple e, se sono riuscite ad arrivare fin lì, è perché sono state sottoposte a severi controlli di sicurezza, sia umani, sia automatici.
Inoltre, ogni singola app, ha pochissime (se non nessuna) possibilità di interagire con le altre app e con il filesystem (al di fuori della propria sandbox).
Questo spiega anche il motivo della presenza di tante "vulnerabilità": se all'entrata del tuo residence c'è un posto di blocco con guardie armate, potresti sottovalutare l'idea di mettere anche una porta blindata all'ingresso di ogni singola abitazione.
Quella classifica lascia il tempo che trova... come ho già detto nell'altra discussione, non è tanto importante “quante” siano le falle [vulnerabilities] riscontrate, ma quanto le stesse siano effettivamente sfruttabili [exploits] per fare danni nel mondo reale.
PippoDJ ha scritto:Quella classifica lascia il tempo che trova... come ho già detto nell'altra discussione, non è tanto importante “quante” siano le falle [vulnerabilities] riscontrate, ma quanto le stesse siano effettivamente sfruttabili [exploits] per fare danni nel mondo reale.
Concordo pienamente! Quando ho pubblicato quella classifica, infatti, l'ho fatto un po' anche per "provocazione", perchè ritengo molto più interessante quest'altra classifica e in particolare la colonna del "peso medio" delle vulnerabilità, il cui punteggio, essendo una media fra il numero di vulnerabilità e la loro pericolosità, può essere molto più indicativo di quale sia un prodotto sicuro o meno. C'è comunque un dato molto importante che non viene preso in considerazione: il tempo trascorso dalla scoperta della vulnerabilità e il rilascio di una patch!
In questa seconda tabella il mio "amato" Flashplayer, con un punteggio di 9.50 è secondo solo a Air Sdk e Air Sdk & Compiler, primi a parimerito con 9.60!! Complimenti vivissimi ad Adobe!!
Per riprendere il tono del mio primo post ( ), nella seconda tabella riuscite per caso a vedere Android??
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
CUB3 ha scritto:...Per riprendere il tono del mio primo post ( ), nella seconda tabella riuscite per caso a vedere Android??
.... beh forse non si ricordano delle vulnerabilità scoperte nella libreria Stagefright di Android:
"Oltre 950 milioni di dispositivi Android possono essere attaccati da remoto, a causa di sette vulnerabilità individuate dai ricercatori di Zimperium Mobile Security. I dettagli verranno divulgati nel corso della conferenza Black Hat di inizio agosto, ma l’azienda ha specificato che il problema riguarda il 95% dei device che eseguono il sistema operativo Google. Tra gli smartphone testati, solo per il Nexus 6 è stata rilasciata una patch che risolve alcune vulnerabilità."
.... ci sono stati più round ... ma da luglio mi sembra abbiano risolto ... forse in ottobre .... ?
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi.
PippoDJ ha scritto:Quella classifica lascia il tempo che trova... come ho già detto nell'altra discussione, non è tanto importante “quante” siano le falle [vulnerabilities] riscontrate, ma quanto le stesse siano effettivamente sfruttabili [exploits] per fare danni nel mondo reale.
Concordo pienamente! Quando ho pubblicato quella classifica, infatti, l'ho fatto un po' anche per "provocazione" [...]
Beh... allora rispondo anch'io con un'altra "provocazione".
Ecco la "TOP 40" dei prodotti con più "exploits" ("vulnerabilità" che si sono poi davvero concretizzate in minacce reali) liberamente tratta dagli stessi dati forniti da CVE Details:
Windows Vista 32
Linux Kernel 29
Windows Server 2008 27
Firefox 23
Windows Server 2003 21
Internet Explorer 20
Windows 7 17
Safari 16
Acrobat Reader 13
Chrome 12
Acrobat 12
Mac OS X 11
Wireshark 11
Windows 8 9
Office (Microsoft) 9
Windows Server 2012 9
Windows Rt 8
Thunderbird 7
iPhone OS 7
Open SSL 5
Windows 8.1 5
Windows Rt 8.1 5
Flash Player 4
iTunes 4
OpenSuSE 3
MySQL 3
Ubuntu Linux 2
IOS (Cisco) 2
Debian 2
JRE 2
JDK 2
Apple TV 1
Android 1
Fedora 1
AIR 0
AIR SDK 0
Acrobat DC 0
Acrobat Reader DC 0
Windows 10 0
Firefox ESR 0
AIR SDK & Compiler 0
...vista in questo modo, non sembra che i prodotti Adobe siano poi così spaventosi.
Per riprendere il tono del mio primo post ( ), nella seconda tabella riuscite per caso a vedere Android??
No e, in quanto tifoso del robottino, la cosa mi fa piacere. Però, per essere onesti, sarebbe meglio che quella classifica fosse in ordine di pericolosità media ["Weighted Average"] invece che in ordine di quantità di vulnerabilità riscontrate ["Number of Total Vulnerabilities"]: penso che tra i primi 50 classificati apparirebbero anche altri nomi.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.