Stavolta è toccato a Skype. E la procedura per suscitare il malfunzionamento è ancora più semplice rispetto a quella che ha mandato in crisi iMessage. Il messaggio-killer è infatti di una semplicità quasi allarmante.
La stringa che ha bloccato uno dei sistemi di messaggistica più diffusi è:
http://:
Problema assicurato. Skype si riavvia continuamente. Le versioni affette dal problema sono quella desktop per Windows, iOS e Android. Si salvano la versione Metro, quella per Mac e quella per Windows Phone.
Anche in questo caso esistono dei possibili workaround:
- La persona che vi ha spedito il messaggio incriminato lo cancella.
- Vi loggate da una versione non vulnerabile e cancellate il messaggio.
- Disinstallate Skype e installate una versione inferiore con cui cancellare il messaggio. Poi riaggiornate.
Il baco è diventato noto mercoledì 3 giugno. Giovedì 5, Microsoft ha rilasciato una nuova versione con il baco corretto.
In definitiva 24 ore di panico e, di nuovo, Microsoft si è dimostrata molto più reattiva rispetto sia al passato sia alla concorrenza.
Sta di fatto che questa cosa deve far riflettere. Ricordate quel professore che in prima superiore diceva ai vostri genitori, alle udienze: signori, a vostro figlio mancano le basi, che professori ha avuto alle medie?
Bisogno di pulizia
Siamo nella stessa situazione. La sanitizzazione dell’input è uno dei pilastri per la scrittura di applicazioni sicure. Certo, a volte non è facile. Ci sono un sacco di librerie che svolgono una marea di funzioni secondarie, come per esempio cercare URL nel testo per renderli cliccabili (e probabilmente è una di queste che ha fallito miseramente con Skype), ma qui si parla davvero delle fondamenta di un programma.
Non dovremmo meravigliarci. Vi sono migliaia di applicazioni web ancora sensibili a problematiche di SQL Injection e Cross-site Scripting. E non parliamo del sito della casalinga di Voghera, ma di sistemi bancari, SCADA, gestione del traffico aereo e molte altre infrastrutture che sono critiche. Tutto questo perché i programmatori non si occupano dei fondamentali, come appunto una corretta gestione dell’input da parte dell’utente.
Nel deep web ci sono persone che vendono praticamente al chilo vulnerabilità accertate sui sistemi di cui sopra. Segno che quanto sto dicendo non sono le farneticazioni di un paranoico.
In due settimane due sistemi molto diffusi (tra iOS e Skype andiamo verso il miliardo di utenze) hanno rivelato non solo tutta la loro fragilità, ma anche come per provocare un Denial of Service non sia necessaria chissà quale tecnologia. Basta un file di testo ben scritto.
Se la prossima vittima fosse una lampadina facente parte della veniente Internet of Things? Che cosa potremmo aspettarci? Una città con un blackout a macchia di leopardo?
Io intanto faccio scorta di carta, penna e candele. Non si sa mai…