Il team Project Zero di Google ha pubblicato un interessante rapporto in cui è possibile apprendere di importanti vulnerabilità riguardando i sistemi operativi sviluppati da Apple. Nello specifico, il framework ImageIO presente su iOS, macOS, watchOS e tvOS, fa riferimento al sistema che analizza le immagini ed è legato a tutte le applicazioni di messaggistica che utilizzano il framework ImageIO per la gestione delle immagini.

Numerose falle colpiscono iOS e non solo

Il team di sicurezza informatica è riuscito ad individuare queste falle utilizzando una tecnica conosciuta come “fuzzing” che, in soldoni, permette di inviare dati randomici al framework di Apple per scovare eventuali falle. Questa scoperta permette l’apertura di link sospetti senza l’input da parte dell’utente, motivo per cui questo genere di falle sono indicate come vulnerabilità “zero click“.

Project Zero ha inoltrato ad Apple le proprie scoperte che fanno riferimento a 6 falle del framework ImageIO e altre 8 falle in OpenEXR, un sistema di gestione di immagini HDR di terze parti che è stato esposto tramite l’utilizzo del framework di Apple.

Samuel Groß, un ricercatore del team Project Zero, raccomanda che Apple “continui a portare avanti il test di fuzzing” per testare la solidità della sicurezza relativa alle librerie di sistema e alle applicazioni di messaggistica. Le falle di ImageOS sono state corrette da Apple a seguito di aggiornamenti rilasciati a gennaio ed aprile.