Google Project Zero iOS falle di sicurezza

I ricercatori di Google Project Zero hanno scoperto e notificato ad Apple sei falle di sicurezza in iOS che non richiedono alcuna interazione da parte dell’utente: molte sono state risolte e chiuse con l’aggiornamento ad iOS 12.4, ma una resta ancora potenzialmente senza soluzione e quindi estremamente pericolosa.

Questo tipo di exploit vengono definiti 0-day perchè lo sviluppatore del software, in questo caso Apple, non è a conoscenza di queste falle di sicurezza all’interno del suo sistema operativo. Gli analisti di sicurezza informatica che lavorano presso Google hanno inviato un report dettagliato che spiega non solo il tipo di vulnerabilità riscontrata, ma anche delle demo in cui vengono utilizzati scenari d’utilizzo reali per la loro attuazione, scrive in un report ZDNet.

“Secondo i ricercatori, quattro dei sei bug di sicurezza possono aprire le porte all’esecuzione di codice malevolo su di un dispositivo iOS remoto, senza alcuna necessaria da parte dell’utente. Tutto ciò che un malintenzionato deve fare è inviare un messaggio modificato al telefono della vittima, e il codice malevolo verrà eseguito una volta che l’utente apre e legge il contenuto del messaggio[…]”, una forma di attacco particolarmente efficace, specialmente se vengono falsificati i dati relativi al messaggio per far sembrare che arrivi da un contatto di cui abbiamo fiducia, ancor più se utilizziamo ad esempio un messaggio di posta elettronica.

La quinta e sesta falla di sicurezza permettono ad un attaccante di recuperare dati dalla memoria del dispositivo e di recuperare file da un dispositivo remoto“, anche in questo caso senza che l’utente debba effettuare alcuna interazione. Come detto in apertura, cinque di queste falle di sicurezza sono state risolte con l’aggiornamento ad iOS 12.4: basta avere i propri dispositivi sempre aggiornati per essere al sicuro da minacce di questo tipo.

La maggior parte delle minacce alla sicurezza del nostro sistema derivano da interazioni avventate degli utenti, ad esempio app o servizi che cercano di imbrogliarci sotto mentite spoglie per carpire le credenziali del nostro account iCloud o di Apple ID. Nel caso di attacchi zero-interazione invece non è necessaria alcuna azione da parte dell’utente per eseguire del codice malevolo, e questo li rende particolarmente pericolosi e priorità assoluta del team responsabile per la sicurezza informatica di competenza, che dovrà provvedere a risolvere le falle di sicurezza nel più breve tempo possibile. In questo caso specifico, possono essere utilizzati semplici messaggi inviati attraverso SMS, MMS, iMessage o Mail.

Se non avete ancora aggiornato i vostri dispositivi iPhone e iPad a iOS 12.4 vi consigliamo caldamente di farlo: un sistema aggiornato è sinonimo della massima protezione possibile. Molti malintezionati utilizzano infatti exploit e falle di sicurezza dopo la loro pubblicazione, sfruttando quella fetta di popolazione che ha ancora dispositivi non aggiornati: non cadete nella trappola, per chiudere le porte a questi criminali basta un semplice aggiornamento.