In iOS 12.1.3 sono presenti due pericolosi bug di sicurezza. L’allarme arriva da Google che avrebbe anche già avvertito Apple del problema, pubblicando una nota secondo la quale l’unica soluzione è aggiornare a iOS 12.1.4 rilasciato ieri da Apple.
Secondo un ingegnere di Google l’evidenza del pericolo deriva dal fatto che i bug sono stati già sfruttati prima della presentazione di iOS 12.1.4, lasciando intendere la diffusione di una vulnerabilità in gergo definita “Zero-Day” (o “Attacco Zero-Day”), una minaccia informatica che sfrutta vulnerabilità di applicazioni software ancora un circolazione o per le quali non è ancora stata distribuita una patch. Gli attacchi zero-day sono considerati una minaccia molto grave, in quanto sfruttano falle di sicurezza per le quali non è al momento disponibile nessuna soluzione.
Ben Hawkes, team leader del Project Zero di Google, non spiega in quale circostanza le vulnerabilità sarebbero state usate ma i primi utilizzatori di queste falle sono tipicamente cybercrimnali che le sfruttano per attività di cyber-spionaggio.
CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.
— Ben Hawkes (@benhawkes) February 7, 2019
Le due vulnerabilità sono indicate nel database delle vulnerabilità (ID CVE) come CVE-2019-7286 e CVE-2019-7287. Nel documento di Apple con le informazioni sui contenuti di sicurezza di iOS, si spiega che la vulnerabilità CVE-2019-7286 è legata al Foundation framework, uno dei componenti core del sistema operativo iOS; un attacker poteva sfruttare un’app malevola creando un problema di danneggiamento della memoria in un componente di iOS Foundation e ottenere privilegi più elevati. La seconda vulnerabilità, CVE-2019-72867, riguardava I/O Kit, altro core framework che gestisce lo stream di I/O tra hardware e software. Un attaccker poteva sfruttare la falla per danneggiare la memoria sfruttata da questo framework con un’app ad hoc e attivare l’esecuzione arbitraria di codice con i privilegi del kernel.
Nel documento di Apple con le informazioni sui contenuti di sicurezza di iOS, la Casa di Cupertino ringrazia un ricercatore che ha voluto rimanere anonimo, Clement Lecigne del Google Threat Analysis Group, Ian Beer del Google Project Zero, e Samuel Groß del Google Project Zero.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari.
Per garantire la sicurezza dei propri prodotti, è opportuno mantenerli sempre aggiornati. Nel momento in cui scriviamo la versione più recente di iOS è la 12.1.4. È possibile scaricare l’aggiornamento a iOS 12.1.4 direttamente dal dispositivo: basta andare in Impostazioni, selezionare “Generali”, da qui “Aggiornamento software” e poi “Scarica e installa”. L’update verrà richiesto e scaricato.
