In questi giorni un team di ricercatori di sicurezza del Project Zero di Google ha condiviso i dettagli di 5 bug individuati all'interno dell'applicazione iMessage, i quali potenzialmente potrebbero rendere gli iPhone vulnerabili agli attacchi hacker: secondo quanto hanno spiegato gli esperti, sfruttando uno di essi il dispositivo sarebbe risultato essere talmente esposto ad un attacco che l'unica soluzione per salvarlo è stata addirittura quella di eliminare tutti i dati in esso contenuti; mentre un'altra di tali vulnerabilità potrebbe essere impiegata per copiare da remoto qualsiasi file da un dispositivo, senza che il proprietario faccia o si accorga di nulla. Al riguardo Natalie Silvanovich, una delle ricercatrici del Project Zero, in un estratto del discorso che terrà in occasione della conferenza Black Hat USA 2019, ha scritto: «Ci sono state voci su vulnerabilità remote che non richiedono l'interazione dell'utente per attaccare l'iPhone, ma sono disponibili informazioni limitate sugli aspetti tecnici di questi attacchi su dispositivi moderni. Questa presentazione esplora la superficie di attacco remota e senza interazioni di iOS. Descrive il potenziale di vulnerabilità di SMS, MMS, Visual Voicemail, iMessage e Mail e spiega come impostare strumenti per testare questi componenti. Include anche due esempi di vulnerabilità scoperte utilizzando questi metodi». Ad ogni modo, anche se gli sviluppatori di Apple si sono messi subito all'opera e la scorsa settimana hanno prontamente rilasciato una patch correttiva, in un secondo momento gli stessi ricercatori di sicurezza di Google hanno fatto sapere di aver segnalato anche un 6° bug all'azienda della mela morsicata, che non è stato corretto tramite la diffusione del suddetto aggiornamento per iOS. Comunque sia tutte le vulnerabilità scoperte dai ricercatori sono "interactionless", vale a dire che, come facilmente intuibile, possono essere sfruttate da terzi senza alcuna interazione da parte dell'utente. Tra l'altro 4 di essi, (compreso quello scoperto per ultimo e non ancora corretto), funzionano con l'invio di un messaggio da parte di un malintenzionato contenente un codice dannoso ad un dispositivo sprovvisto della suddetta patch, e vengono azionati non appena il proprietario del dispositivo apre il messaggio in questione; mentre gli altri 2 fanno affidamento su un exploit di memoria per prendere il controllo delle varie applicazioni degli iPhone. Perciò il consiglio è, come sempre, quello di provvedere il prima possibile ad installare gli ultimi aggiornamenti disponibili per iOS, (ossia in questo caso la versione 12.4), in modo da assicurarsi di essere protetti da eventuali pericoli ed, infine, di prestare molta attenzione ai messaggi ricevuti, (soprattutto a quelli degli "sconosciuti"), pensandoci due volte prima di aprirli e/o aprire possibili file e link in essi contenuti.
In questi giorni un team di ricercatori di sicurezza del Project Zero di Google ha condiviso i dettagli di 5 bug individuati all'interno dell'applicazione iMessage, i quali potenzialmente potrebbero rendere gli iPhone vulnerabili agli attacchi hacker: secondo quanto hanno spiegato gli esperti, sfruttando uno di essi il dispositivo sarebbe risultato essere talmente esposto ad un attacco che l'unica soluzione per salvarlo è stata addirittura quella di eliminare tutti i dati in esso contenuti; mentre un'altra di tali vulnerabilità potrebbe essere impiegata per copiare da remoto qualsiasi file da un dispositivo, senza che il proprietario faccia o si accorga di nulla. Al riguardo Natalie Silvanovich, una delle ricercatrici del Project Zero, in un estratto del discorso che terrà in occasione della conferenza Black Hat USA 2019, ha scritto: «Ci sono state voci su vulnerabilità remote che non richiedono l'interazione dell'utente per attaccare l'iPhone, ma sono disponibili informazioni limitate sugli aspetti tecnici di questi attacchi su dispositivi moderni. Questa presentazione esplora la superficie di attacco remota e senza interazioni di iOS. Descrive il potenziale di vulnerabilità di SMS, MMS, Visual Voicemail, iMessage e Mail e spiega come impostare strumenti per testare questi componenti. Include anche due esempi di vulnerabilità scoperte utilizzando questi metodi». Ad ogni modo, anche se gli sviluppatori di Apple si sono messi subito all'opera e la scorsa settimana hanno prontamente rilasciato una patch correttiva, in un secondo momento gli stessi ricercatori di sicurezza di Google hanno fatto sapere di aver segnalato anche un 6° bug all'azienda della mela morsicata, che non è stato corretto tramite la diffusione del suddetto aggiornamento per iOS. Comunque sia tutte le vulnerabilità scoperte dai ricercatori sono "interactionless", vale a dire che, come facilmente intuibile, possono essere sfruttate da terzi senza alcuna interazione da parte dell'utente. Tra l'altro 4 di essi, (compreso quello scoperto per ultimo e non ancora corretto), funzionano con l'invio di un messaggio da parte di un malintenzionato contenente un codice dannoso ad un dispositivo sprovvisto della suddetta patch, e vengono azionati non appena il proprietario del dispositivo apre il messaggio in questione; mentre gli altri 2 fanno affidamento su un exploit di memoria per prendere il controllo delle varie applicazioni degli iPhone. Perciò il consiglio è, come sempre, quello di provvedere il prima possibile ad installare gli ultimi aggiornamenti disponibili per iOS, (ossia in questo caso la versione 12.4), in modo da assicurarsi di essere protetti da eventuali pericoli ed, infine, di prestare molta attenzione ai messaggi ricevuti, (soprattutto a quelli degli "sconosciuti"), pensandoci due volte prima di aprirli e/o aprire possibili file e link in essi contenuti.
Commenti
Posta un commento