iMessage

Il team del Project Zero di Google è stato già responsabile di molte scoperte legate alla sicurezza precaria di alcuni software e sistemi operativi. Come prassi, una volta scoperta la falla viene avvisata l’azienda in questione e vengono concessi 90 giorni ai responsabili per mettersi al lavoro e sistemarla. Scaduto tale termine, le ricerche e la scoperta vengono pubblicate online a beneficio di tutti. L’ultima falla scoperta dal team del Project Zero si riferisce ad iMessage, la popolare app di messaggistica disponibile su iPhone, iPad, iPod Touch e Mac.

Google Project Zero ha scoperto per la prima volta questo difetto di iMessage nel mese di aprile. Il problema, che riguardava anche macOS, si basava su di un bug che in presenza di un messaggio particolare contenente una chiave di testo specifica, causava un’eccezione dell’esecuzione dei comandi che, a sua volta, causava il blocco del sistema.

Su un Mac, questo difetto ha causato “un arresto anomalo e un respawn”, ma su iOS il problema ha interessato Springboard, ovvero il framework che alimenta la schermata principale degli iPhone. La ricezione di questo messaggio tramite iMessage ha causato il blocco e il respawn di Springboard, rendendo il telefono inutilizzabile.

Stranamente, il crash in molti casi ha continuato a manifestarsi anche dopo un riavvio completo dei dispositivi. L’unica soluzione è stato il ripristino dei dati di fabbrica.

Su un Mac, questo provoca il crash e il respawn, ma su un iPhone, questo incide sul codice di Springboard. Se ricevi questo messaggio, Springboard si arresta e si riavvia ripetutamente, causando la mancata visualizzazione dell’interfaccia utente e il blocco del telefono. Questa condizione sopravvive a un hard reset e causa l’inutilizzabilità del telefono non appena viene sbloccato.

Come anticipato all’inizio, il Google Project Zero ha fornito 90 giorni di tempo ad Apple prima di rendere pubblica la cosa e, fortunatamente, gli sviluppatori di Apple sono stati in grado di sistemare la cosa con l’aggiornamento ad iOS 12.3.