Pochi giorni addietro il team Project Zero di Google ha rivelato l’esistenza di alcune vulnerabilità con le quali sarebbe stato potenzialmente prendere di mira gli iPhone, falle che – tecnicamente – avrebbero per due anni permesso di sfuggire alla sandbox che iOS sfrutta per evitare che un’app possa accedere (o modificare) ai dati di altre app e persino di ottenere permessi di root, permessi con i quali è possibile eseguire particolari operazioni, attività di un livello superiore a quello normalmente disponibili per l’utente normale.
Apple ha ora replicato al team Project Zero di Google, rispondendo a eventuali dubbi dei clienti preoccupati dalla vicenda. La Casa di Cupertino spiega che l’attacco era “strettamente focalizzato”, e non un exploit di ampio-spessore come lasciato intendere dai ricercatori. Meno di una dozzina di siti web avrebbero preso di mira minoranze musulmane degli uiguri in Cina ma – a detta di Apple – Google avrebbe fatto passare l’idea sbagliata di una vulnerabilità sfruttata in modo massiccio a livello globale, causando preoccupazione tra gli utenti iPhone.
Google a quanto pare ha anche fornito indicazioni errate in merito alla tempistica dell’attacco. Secondo Apple i siti web che attaccavano determinati utenti sono stati attivi per circa due mesi e non due anni come indicato dai ricercatori di Big G. Le vulnerabilità individuate sono state risolte in dieci giorni da Apple, non appena quest’ultima ha ricevuto le segnalazioni dai ricercatori. Fix specifici per iOS erano ad ogni modo già in fase di sviluppo prima ancora che Google segnalava il problema ad Apple. Di seguito il testo del comunicato di Apple:
«La scorsa settimana Google ha pubblicato su un blog un post concernente vulnerabilità che Apple ha sistemato per gli utenti iOS a febbraio. Abbiamo sentito utenti preoccupati da alcune affermazioni, e vogliamo essere sicuri che tutti i nostri clienti siano a conoscenza dei fatti».
«Prima di tutto, il sofisticato attacco era strettamente focalizzato, e non un exploit “massiccio” e su larga scala di iPhone come descritto. L’attacco ha riguardato meno di una dozzina di siti web incentrati su contenuti riguardanti la comunità uiguri. Indipendentemente dalla gravità degli attacchi, prendiamo in seria considerazione la sicurezza e la protezione di tutti gli utenti».
«Il post di Google, diramato sei mesi dopo le patch per iOS, ha creato la falsa impressione di uno “sfruttamento in massa” per “monitorare in tempo reale le attività private di gruppi di cittadini”, paventando timori tra gli utenti iPhone che i loro dispositivi potrebbero essere stati compromessi. Questo non si è mai verificato».
«Secondo, tutte le prove raccolte indicano che questi attacchi dai siti web sono stati operativi per un breve periodo, circa due mesi e non “due anni”, come Google lascia intendere. Abbiamo sistemato le vulnerabilità in questione a febbraio – lavorando molto velocemente e risolvendo il dieci giorni il problema dopo le indicazioni delle scoperte. Quando Google si è messa in contatto con noi, eravamo già in fase di sistemazione dei bug sfruttati».
«La sicurezza è un percorso di scoperte senza fine e i nostri clienti possono essere certi che lavoriamo per loro. La sicurezza di iOS è ineguagliabile perché siamo responsabili con le nostre facce della sicurezza del nostro hardware e software. Le nostre squadre che si occupano della sicurezza dei prodotti in tutto il mondo sono costantemente impegnate a ideare nuove protezioni e risolvere vulnerabilità man mano che queste vengono individuate. Non smetteremo mai l’incessante lavoro che consente di tenere i nostri utenti al sicuro».
Ricordiamo che i problemi descritti sono stati definitivamente risolti con l’update a iOS 12.1.4. Se non l’avete ancora fatto, è dunque bene aggiornare prima possibile il vostro dispositivo con l’ultima versione di iOS.
Macitynet riporta ogni giorno le notizie sulla sicurezza dei sistemi informatici. Visitate questa pagina per tutte le informazioni.
