Su App Store è disponibile un importante aggiornamento per l’applicazione gratuita Fineco, app utile per gestire l’omonimo conto tramite iPhone. Questo update va a correggere un’importante falla di sicurezza.
Chi ha una versione precedente alla 1.2.2 deve assolutamente aggiornare, dato che con tali versioni precedenti è relativamente semplice creare le condizioni per un “man in the middle” e quindi catturare le credenziali dell’utente. In realtà è possibile acquisire tutte le informazioni del traffico dati tra utente e Fineco quindi potenzialmente anche il codice PIN.
Senza scendere nei dettagli, in estrema sintesi possiamo dirvi che l’App dialoga con un web service via https, e fin qui tutto bene, il problema sta nel fatto che prima dell’update veniva fatta una verifica “blanda” dell’identità del certificato, pertanto era possibile interporsi tra App e web service analizzando il traffico. Il rischio concreto per l’utente era di essere collegato ad una rete che, a sua insaputa, attuava il meccanismo citato acquisendo le informazioni riservate.
Fortunatamente tutti questi problemi sono stati risolti con l’ultimo aggiornamento.