Torniamo a parlare di iOS 16.3, rilasciata lo scorso gennaio da Apple, la quale ha portato in dote numerose piccole migliorie all’esperienza utente generando però alcuni bug, come l’annosa questione riguardante il backup automatico di iCloud, ma correggendone altri particolarmente gravi.

Ebbene, all’interno della nuova versione pare fossero contenuti quindici aggiornamenti di sicurezza, tre dei quali destinati ad arginare una nuova grave classe di bug, emersa nei mesi precedenti, in grado di colpire sia iOS che macOS poiché capace di eseguire codice arbitrario e in grado, dunque, di mettere a repentaglio la sicurezza dei dati sensibili degli utenti. Bug corretti dal colosso di Cupertino proprio grazie a iOS 16.3 e macOS 13.2.

Le vulnerabilità corrette da Apple su iOS e macOS

La scoperta è merito dei ricercatori della società di sicurezza Trellix i quali hanno pubblicato un rapporto relativo a due vulnerabilità (ora classificate da Apple come CVE-2023-23530 e CVE-2023-23531) che potevano essere sfruttate da malintenzionati per “eludere le protezioni di sicurezza Apple sin dalle fondamenta del sistema” per entrare in possesso di dati sensibili dell’utente come messaggi, foto, cronologia delle chiamate e posizione geografica.

In aggiunta, la suddetta classe di bug è capace di sfruttare l’exploit ForcedEntry di iOS e ottenere privilegi elevati nel sistema operativo per installare applicazioni malevole o impartire comandi. In tal senso le vulnerabilità sono riuscite a penetrare le difese di Apple aggirando la sandbox dell’azienda – il meccanismo di sicurezza che impedisce alle app di accedere ai dati presenti in altre app, isolando, di fatto, i dati presenti sulle singole applicazioni – e forzando l’apertura di un file pdf malevolo mascherato da innocua Gif.

Uno dei motivi dell’efficacia di questa classe di bug è soprattutto da ricercare in una grave vulnerabilità relativa a NSPredicate – uno strumento in grado di gestire e filtrare i dati nei sistemi operativi dell’azienda – la quale pare sia stata sfruttata già in passato costringendo apple a introdurre nuove misure di sicurezza su iOS 16.3 in aggiunta a quelle preesistenti.

A conclusione del rapporto, i ricercatori di Trellix hanno affermato:

Le vulnerabilità individuate rappresentano una violazione significativa del modello di sicurezza di macOS e iOS che si basa su singole applicazioni che hanno accesso granulare al sottoinsieme di risorse di cui hanno bisogno e interrogano servizi con privilegi più elevati per ottenere dati.

L’importanza degli aggiornamenti di sicurezza

Come anticipato, Apple è corsa ai ripari arginando le vulnerabilità generate da questa nuova classe di bug con l’aggiornamento a iOS 16.3 e macOS 13.2. Qualora non l’aveste fatto vi invitiamo ad aggiornare i vostri iPhone, peraltro ora giunti alla versione 16.3.1 del sistema operativo, poiché quei banali bug fix e patch di sicurezza, spesso snobbati dagli utenti alla ricerca della nuova scintillante funzione, possono fare la differenza nella protezione dei dati sensibili presenti sui dispositivi che usiamo quotidianamente.

Potrebbe interessarti anche: Dynamic Island anche per il modello base di iPhone 15 secondo questi render