iPhone e iPad a rischio sicurezza, patch in arrivo

Vulnerabilità "spaventosa" rilevata nell'app di posta iPhone e iPad: Apple dice che la patch arriverà presto attraverso un aggiornamento.

Apple ammette l’esistenza di una vulnerabilità nell’app Mail presente in iOS che gli hacker potrebbero riuscire a sfruttare per violare la sicurezza degli iPhone e iPad in circolazione e afferma di stare lavorando per distribuire celermente una patch volta ad eliminare questa falla. Secondo quanto dichiarato dalla casa di Cupertino, il fix verrà distribuito mediante aggiornamento software molto a breve.

iOS la falla nella sicurezza dell’app di posta

Il problema è stato scoperto da ZecOps, una società di sicurezza mobile con sede a San Francisco. Il CEO dell’azienda, Zuk Avraham, ha dichiarato di aver trovato prove che la vulnerabilità è stata sfruttata sei volte dagli hacker che sono in questo modo riusciti ad entrare in alcuni iPhone e iPad.

La cosa più sconcertante è che, secondo ZecOps, questa falla di sicurezza è presente nell’app di posta del sistema operativo della mela morsicata da diverso tempo e, più in particolare, sin da iOS 6 che ha debuttato con il lancio degli iPhone 5 nel 2012. La società afferma di aver individuato per la prima volta attacchi sull’app di posta iOS a gennaio 2018, i device vittima erano sia iPhone che iPad appartenenti a utenti aziendali di alto profilo, VIP e aziende che gestiscono la sicurezza informatica per gli utenti di Internet.

A quanto pare, gli attacchi sono stati innescati con la ricezione di un’e-mail vuota sull’app di posta di iOS, evento che ha costretto il telefono a bloccarsi e riavviarsi. L’attacco prevede anche l’invio di e-mail che consumano grandi quantità di memoria. Non si tratta di messaggi pesanti di per sé, ma di email capaci di consumare parecchia RAM usando il formato RTF (Rich Text Format), multiparte (che invia sia la versione HTML che quella testuale di un messaggio) e altri formati che richiedono l’impiego di molta memoria.

Su iOS 13, e-mail potenzialmente dannose possono essere ricevute dall’app Mail se questa risulta in esecuzione in background, mentre su iOS 12, l’utente deve fare clic sull’e-mail in questione per aprirla e far partire l’attacco, a meno che l’hacker non abbia il controllo del server di posta, riuscendo in questo modo ad attuare un “attacco zero clic” anche su iOS 12. Sul momento gli utenti si accorgono solo di un rallentamento temporaneo nell’app Mail. Se l’attacco non va a buon fine, si riceve un messaggio con scritto “Questo messaggio non ha contenuto“.

Secondo gli esperti, inoltre, questi attacchi, da soli, non possono consentire a un hacker di assumere il pieno controllo di un iPhone o iPad senza un bug infoleak aggiuntivo e/o un bug del kernel. Tuttavia, anche senza questi bug aggiuntivi, un attacco che va a buon fine può consentire a un hacker di eliminare e modificare le e-mail in arrivo, oltre a consumare le risorse del device.

Fortunatamente ora Apple è decisa ad ammettere la presenza della falla, implementando di conseguenza un bug fix da distribuire al più presto, probabilmente con la versione stabile di iOS 13.4.5 (attualmente ancora in beta, rilasciata come anteprima per gli sviluppatori).

Fonte: Zecops

Ti consigliamo anche

Link copiato negli appunti